Bewährte Methoden zum Aktualisieren eines zuvor nicht verwalteten Servers RHEL5.7


21

Ein neuer RedHat EL5.6 Server wurde kürzlich unter meine Obhut genommen. Es ist sofort ersichtlich, dass in den letzten 12 Monaten keinerlei Aufmerksamkeit auf Paketaktualisierungen gelegt wurde.

Normalerweise bin ich der Meinung, wenn es nicht kaputt ist - repariere es nicht. Nach der Registrierung des Servers bei RHN und der Verwendung des yum-security-Plugins zum Überprüfen von Sicherheitsupdates sind jedoch nur mehr als 1100 Sicherheitsupdates verfügbar.

Hat jemand eine ähnliche Situation gehabt? Ich möchte nur ungern alles aktualisieren, da ich gerne wissen möchte, was aktualisiert wird und ob es die Möglichkeit hat, dass etwas auf der Box ausgeführt wird (dies ist ein Produktionsserver). Es sieht jedoch auch so aus, als müsste ich bei Einhaltung dieser Praxis zeilenweise die Errata von 1100 Paketen durchgehen. Gibt es eine effizientere Lösung?

Antworten:


21

Im Allgemeinen werden Sicherheitsupdates als etwas sicher angesehen, insbesondere für eine Distribution mit Zielen wie RedHat. Ihr Hauptaugenmerk liegt auf der Schaffung einer einheitlichen Betriebsumgebung. Als solche neigen die Betreuer dazu, Versionen von Paketen auszuwählen und für die Langstrecke bei ihnen zu bleiben. Um zu sehen , was ich Blick auf den Versionen solcher Pakete wie bedeuten kernel, python, perl, und httpd. Was sie auch tun, ist das Backportieren von Sicherheitspatches von den vorgelagerten Entwicklern. Wenn also eine Sicherheitslücke für alle Versionen von Apache httpd 2.2.x gefunden wird, veröffentlicht die Apache Foundation möglicherweise Version 2.2.40 mit dem Fix, aber RedHat wird den Patch lokal rollen und httpd-2.2.3-80mit dem Fix veröffentlichen.

Denken Sie auch daran, dass Sie derzeit über ein RHEL5.7-System sprechen. Die aktuelle Version ist 5.9. Einige Softwareanbieter unterstützen nur bestimmte Unterversionen. Ich bin kürzlich auf eine Software gestoßen, von der der Hersteller sagt, dass sie nur mit 5.4 funktioniert. Das bedeutet nicht, dass es nicht auf 5.9 läuft, aber es kann bedeuten, dass sie keine Unterstützung bieten, wenn es nicht funktioniert.

Es gibt auch Bedenken, Massenaktualisierungen eines Systems durchzuführen, das seit so langer Zeit nicht mehr gepatcht wurde. Das größte Problem, auf das ich gestoßen bin, ist eher ein Konfigurationsverwaltungsproblem, das nur durch große Aktualisierungen verschlimmert werden kann. Manchmal wird eine Konfigurationsdatei geändert, aber der Administrator startet den Dienst nie neu. Dies bedeutet, dass die Konfiguration auf der Festplatte noch nie getestet wurde und die aktuelle Konfiguration möglicherweise nicht mehr vorhanden ist. Wenn der Dienst also neu gestartet wird, was nach dem Anwenden der Kernel-Updates der Fall ist, wird er möglicherweise nicht neu gestartet. Oder es kann anders handeln , wenn es neu gestartet wird .

Mein Rat wäre, die Updates zu machen, aber schlau darüber zu sein.

  • Planen Sie es während eines Wartungsfensters. Wenn für den Server kein Neustart erforderlich ist, wurden einige Kernel-Updates durchgeführt, und Sie müssen einen Neustart durchführen, um sie anzuwenden.
  • Stellen Sie sicher, dass Sie eine vollständige Sicherung erstellen, bevor Sie etwas unternehmen. Dies kann ein Schnappschuss sein, wenn es sich um eine VM handelt, der eine vollständige Sicherung auf einem beliebigen Tool auslöst, einen Teer /(auf einem anderen System) erstellt, ein ddImage der Laufwerke erstellt, was auch immer. Nur solange es etwas ist, von dem Sie wiederherstellen können.
  • Planen Sie, wie Sie die Updates anwenden. Du willst nicht einfach einen yum update -ydrauf werfen und weggehen. Für all die guten Dinge, die yum tut, ist es nicht in der richtigen Reihenfolge, wenn es Aktualisierungen gemäß den Abhängigkeiten anwendet. Dies hat in der Vergangenheit zu Problemen geführt. Ich laufe immer yum clean all && yum update -y yum && yum update -y glibc && yum update. Das kümmert sich in der Regel um die meisten potenziellen Bestellprobleme.

Dies ist möglicherweise auch eine gute Zeit, um die Plattform zu aktualisieren. Wir haben RHEL6 jetzt schon eine ganze Weile. Je nachdem, was dieser Server tut, kann es sinnvoll sein, diesen Server so laufen zu lassen, wie er ist, während Sie parallel eine neue Instanz aufrufen. Sobald es installiert ist, können Sie alle Daten kopieren, die Dienste testen und das Cut-Over durchführen. Dies gibt Ihnen auch die Möglichkeit, von Grund auf zu wissen, dass das System standardisiert, sauber, gut dokumentiert und der ganze Jazz ist.

Egal was Sie tun, ich finde es ziemlich wichtig, dass Sie sich mit einem aktuellen System vertraut machen. Sie müssen nur sicherstellen, dass dies so erfolgt, dass Sie Ihrer Arbeit und dem fertigen Produkt vertrauen können.


Vielen Dank für die ausführliche Antwort und den Einblick in einige Überlegungen, an die ich nicht gedacht habe. Hoffentlich ist dies das letzte Massenupdate, das ich durchführen muss. Wie ich in meinem Beitrag erwähnte, verwendeten sie nicht einmal RHN (das sie gekauft hatten), so dass es wahrscheinlich schwieriger sein wird, die Anwendungseigner an Bord zu bekommen als die technische Arbeit :)
tdk2fe

@ tdk2fe: ​​Es ist immer so. :) Ehrlich gesagt, je nachdem was dieses Ding läuft, sollte es ziemlich stinkstabil sein. Ich würde mich viel weniger mit Anwendungen befassen, die nicht mehr funktionieren, als mit tatsächlich gestarteten Diensten.
Scott Pack

Machen Sie sich keine Sorgen um RHEL 5.7 vs 5.9, RHEL 5.9 ist nur RHEL 5.0 mit allen Aktualisierungen seitdem und ist sofort einsatzbereit. Es ist wirklich nicht notwendig, innerhalb der Serie ein "Upgrade" durchzuführen. Ich würde raten, zumindest die Sicherheitsupdates zu installieren und den Rest nach Bedarf zu installieren. Können Sie nicht eine virtuelle Maschine oder eine Testbox einrichten, in der die Hauptmaschine repliziert und ausgecheckt werden kann, dass nichts zu stark explodiert?
vonbrand

1
@vonbrand: Genau. Bei den Point Releases handelt es sich praktisch nur um Tag-Kürzungen des Repos zu bestimmten Terminen. Das heißt nicht, dass es keine Probleme geben wird. Der Gilbc-Kerfuffle von 5,3 bis 5,4 ist ein fantastisches Beispiel.
Scott Pack

@ tdk2fe Ganz zu schweigen davon, dass es dir ziemlich gut geht , wenn das System nur ein Jahr lang nicht gewartet wurde. Die meisten von uns haben gesehen, wie Systeme mehrere Jahre lang ohne Aufmerksamkeit waren ...
Michael Hampton

3

Meiner Erfahrung nach unterbricht RHEL die Abwärtskompatibilität in Updates derselben Version nicht.

das wird sich jedoch nicht auf irgendetwas erstrecken, das extern auf rpm installiert wurde.

Sie könnten rpm -qfdie Dateien finden, von denen Sie vermuten, dass sie extern kompiliert wurden. Wenn die Meldung "Nicht im Besitz eines Pakets" lautet, treten möglicherweise Probleme bei Ihrem Upgrade auf.

Ich würde ein Image des Servers machen und das Upgrade durchführen, aber ich bin ein bisschen teuflischer als die meisten anderen.


Guter Punkt. Überprüfen Sie, ob /etc/yum.repos.deinige seltsame Repositorys konfiguriert sind ( EPEL sollte sicher sein), installieren Sie yum-utilsund überprüfen Sie die Ausgabe von package-cleanup --orphans(Paketen, die nicht in einem konfigurierten Repository installiert sind).
Vonbrand
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.