カーネルの更新後にLinuxを再起動することは重要ですか?

19

私たちのサイトとユーザーシェルアカウント(git vcsの作業、screen + irssiセッションなどに使用)をホストするFedoraおよびDebian Webサーバーがいくつかあります。

時々、新しいカーネルアップデートがyum/ apt-getでパイプラインに届くので、ほとんどの修正が再起動を保証するほど深刻なものなのか、それとも再起動せずに修正を適用できるのか疑問に思っていました。

現在、メインの開発サーバーの稼働時間は213日であり、そのような古いカーネルを実行するのが安全でないかどうかはわかりませんでした。

linux  kernel  update 
ルファラオーネ
ソース
本番ホスティング(公正に公開され、セキュリティが重要で、すぐに更新を取得する必要があります)をgit repos(おそらく信頼できるユーザーのみであるが安全である必要があります)および一般的な画面セッションから実際に分離する必要があります。VMは安い!
poolie

回答:

24

長い稼働時間を持つことについて、特別なことは何もありません。一般に、安全なシステムを使用することをお勧めします。すべてのシステムは、ある時点で更新が必要です。おそらく既に更新プログラムを適用していますが、それらの更新プログラムを適用するときに停止をスケジュールしていますか?何か問題が発生した場合に備えて、おそらく必要です。再起動してもそれほど時間はかからないはずです。

システムが停止の影響を非常に受けやすい場合は、何らかのクラスター化セットアップを考えて、すべてを停止せずにクラスターの単一のメンバーを更新する必要があります。

特定の更新について不明な場合は、おそらく再起動をスケジュールして適用する方が安全です(できれば別の同様のシステムでテストした後)。

アップデートが重要であるかどうかを知りたい場合は、セキュリティ通知を読んで、CVEまたは問題を説明する投稿/リスト/ブログへのリンクをたどってください。これは、ケースに更新が直接適用されるかどうかを判断するのに役立ちます。

当てはまらないと思われる場合でも、最終的にはシステムの更新を検討する必要があります。セキュリティは階層化されたアプローチです。ある時点で、これらの他のレイヤーが失敗する可能性があると想定する必要があります。また、構成を後で変更するときに更新をスキップしたため、脆弱なシステムがあることを忘れる可能性があります。

とにかく、Debianベースのシステムでの更新時に無視するかしばらく待つ場合は、パッケージを保留にすることができます。個人的には、万が一のためにすべてのカーネルパッケージを保留するのが好きです。

Debianベースのシステムでパッケージに保留を設定するCLIメソッド。

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections
ゾレダチェ
ソース
1
常時接続している必要はありませんが、一部のユーザーは、(ユーザーの観点から)再起動するのが面倒なオープンセッション(つまりIRC)を持っています。
lfaraone
12

ほとんどのアップデートは再起動を必要としませんが、カーネルのアップデートは必要です(再起動せずに実行中のカーネルを実際に置き換えることはできません)。

私が発見したことの1つは、サーバーが再起動せずに長時間実行されている場合、再起動時にディスクチェック(fsck)を実行する可能性が高く、これが復帰にかかる時間を大幅に増やす可能性があることです再び稼働します。これを予測して計画するのが最善です。

また、構成の変更が見逃されることがあり、再起動(新しいIPアドレス/ iptablesルールの追加など)まで気付かない場合があることも発見しました。

再起動時にダウンタイムを計画するのが最適です。または、これが望ましいオプションではない場合は、必要に応じて再起動できるようにサーバーをクラスタに設定してください。

ブレント
ソース
8

完全に新しいカーネルではなく、セキュリティの更新のみが必要な場合は、Kspliceに興味があるかもしれません-実行中のカーネルに特定のカーネルの更新をパッチすることができます。

ティム
ソース
Oracle Linuxのみ:|
ロジャーパック
3

これに対する簡単な答えはありません。カーネルのアップグレードには、実際にはセキュリティに関連しないものもあります。また、あるものはあなたに影響を与えないセキュリティ問題を修正し、あるものはあなたに影響を与えます。

最良のアプローチは、ubuntuのsecurity-announceのような関連するセキュリティメーリングリストにサインアップして、セキュリティパッチがいつリリースされ、どのように影響するかを確認することです。

また、他のパッケージ更新の詳細と変更ログを取得するために、apticronなどを検討します。

他の
ソース
2

これは更新の機能です-privを修正する場合。ルートアクセスにつながるエスカレーション、それを適用することができます。

エイブリーペイン
ソース
2

あなたがいる場合にはありません、再起動、あなたは新しいカーネルがブート時に起動するデフォルトのものではないことを確認する必要があります。

最後に望むのは、計画外の再起動後、実稼働に使用されるテストされていないカーネルです。

マイバス
ソース
1

mibusが述べたように、カーネルをインストールしてリブートしない場合は、それがデフォルトではないことを確認してください。サーバーが復帰するかどうか、またはどの状態になるかはわからないので、必ずテストしてください。

そうは言っても、可能な場合はかなり定期的にマシンを再起動する習慣を身に付けるのは良いことだと思います。多くのハードウェアおよびソフトウェアの障害は、再起動時にのみ現れます。計画外の停止中ではなく、再起動を計画しているときにそれらを確認することをお勧めします。

カミル・キジエル
ソース
0

debianカーネルの更新の一部は、適用後にできるだけ早く再起動する必要があることに注意してください(よくお勧めします)。

これは、モジュールディレクトリの変更を保証するのに十分な差ではないが、モジュールが異なる場合がある場合です。

このようなカーネルパッケージをインストールすると、Debianから警告が表示されます。

みけい
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.