Czy powinienem aktualizować pakiety jądra w instancjach EC2?

18

Na moim serwerze EC2 sudo apt-get update && sudo apt-get upgradewidzę:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

Czy powinienem zrobić i sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualzmusić te pakiety do aktualizacji?

kernel amazon-ec2 Adam Monsen
źródło
3
Lub zrobić apt-get update && apt-get upgrade && apt-get dist-upgrade. To uaktualni wstrzymane pakiety.
Mark Russell,

Odpowiedzi:

18

Krótka odpowiedź brzmi: tak, powinieneś aktualizować swój system w zakresie poprawek bezpieczeństwa.

Dokładne wdrożenie poprawek zabezpieczeń zależy od tolerancji na ryzyko. Oto kilka opcji, z których korzystałem w przeszłości, aby odpowiedzieć na to pytanie:

  1. Zastosuj aktualizacje do zestawu systemów zapewniania jakości, które naśladują środowisko produkcyjne i uruchom wszystkie testy regresji, aby upewnić się, że zmiany nie psują żadnej funkcjonalności ani nie powodują problemów z wydajnością. Gdy będziesz zadowolony, możesz wdrożyć aktualizacje swoich systemów produkcyjnych.

  2. Poczekaj dzień i sprawdź, czy występuje publiczne oburzenie dotyczące problemów spowodowanych aktualizacjami. Jeśli wszystko wydaje się spokojne, zaktualizuj swoje systemy produkcyjne.

  3. Zastosuj każdą poprawkę bezpieczeństwa w swoich systemach produkcyjnych, gdy tylko będzie dostępna.

Użyłem kombinacji wszystkich trzech podejść przy użyciu Ubuntu i stopniowo przechodziłem do opcji 3 z biegiem lat. Przed wydaniem łaty bezpieczeństwa są dokładnie testowane i dokładamy wszelkich starań, aby nie zniszczyć istniejącej funkcjonalności. Nigdy nie miałem problemu z aktualizacją w ramach obrazów obsługiwanych przez Ubuntu (chociaż kiedyś miałem problem wiele lat temu, kiedy korzystałem z jądra innego niż Ubuntu z Ubuntu na EC2).

Zauważ, że aktualizacja jądra wymaga również ponownego uruchomienia, aby zastosować zmiany.

Powyższe doświadczenia i zalecenia dotyczą wyłącznie aktualizacji w ramach wersji Ubuntu (np. 11.04). Aktualizacja do nowej wersji Ubuntu jest znacznie większym i bardziej ryzykownym zadaniem i zdecydowanie wymaga przetestowania przed wdrożeniem na systemy produkcyjne.

Oto artykuł na ten temat, który właśnie został opublikowany przez RightScale na temat zarządzania aktualizacjami zabezpieczeń w ich środowisku:

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/

Eric Hammond
źródło
3
Dobra odpowiedź. Być może dodaj notatkę, że aktualizacja jądra jest naprawdę możliwa tylko w instancjach wspieranych przez EBS? Nadal tak jest, nie?
Mark Russell,
3
Mark: Kiedyś było prawdą, że instancje w magazynie instancji nie mogły mieć zaktualizowanych jąder na swoim miejscu, ale wraz z wydaniem parawirtualizacji jakiś czas temu rzeczywiste jądra mogą być przechowywane w AMI, a nie w AKI. Oznacza to, że instancja może zaktualizować jądro na lokalnym woluminie EBS i pozwolić mu pozostać po ponownym uruchomieniu, nawet jeśli używa tego samego AKI. Właśnie przetestowałem to z Ubuntu 11.04 (us-east-1 ami-e2af508b) i instancja sklepu instancji wymyśliła poprawne nowsze jądro po aktualizacji dist i ponownym uruchomieniu.
Eric Hammond,
2
poprawka do mojego poprzedniego komentarza: „instancja może zaktualizować jądro na swoim lokalnym woluminie głównym magazynu instancji i trzymać go”
Eric Hammond,