最近、新しいRedHat EL5.6サーバーが私の管理下に置かれました。過去12か月間、どのような種類のパッケージの更新にもほとんど注意が払われていないことがすぐにわかります。
通常、私はそれが壊れていないかどうかの考え方です-それを修正しないでください。ただし、サーバーをRHNに登録し、yum-securityプラグインを使用してセキュリティ更新を確認した後、1100を超える「セキュリティ」更新が利用可能です。
誰か同じような状況がありましたか?更新対象と、ボックスで実行されているもの(本番サーバー)に影響を与える可能性があるかどうかを知りたいので、すべてを更新するのは嫌です。ただし、この慣行に従っていると、1100パッケージの正誤表を1行ずつ確認する必要があります。より効率的なソリューションはありますか?
回答:
一般的に言えば、セキュリティ更新は、特にRedHatのような目標を持つディストリビューションでは、ある程度安全であると考えられています。彼らの中心的な焦点は、一貫性のあるオペレーティング環境の作成です。したがって、メンテナーはパッケージのバージョンを選択し、長期にわたってそれらを使用する傾向があります。私のようなパッケージのバージョンを見て何を意味するかを確認するにはkernel、python、perl、としますhttpd。彼らが行うことは、上流の開発者からのセキュリティパッチをバックポートすることです。そのため、Apache httpd 2.2.xのすべてのバージョンにセキュリティの脆弱性が見つかった場合、Apache Foundationは修正を伴うバージョン2.2.40をリリースする可能性がありますが、RedHatはパッチをローカルにロールhttpd-2.2.3-80し、修正とともにリリースします。
また、現在RHEL5.7システムについて話していることに注意してください。現在のリリースは5.9です。一部のソフトウェアベンダーは、特定のサブリリースのみをサポートします。最近、たとえばベンダーが5.4でしか動作しないと言っているソフトウェアに出会いました。それは5.9で動作しないという意味ではありませんが、動作しない場合はサポートを提供しないことを意味する場合があります。
また、長い間パッチが適用されていないシステムを大量に更新することにも懸念があります。私が遭遇した最大の問題は、実際には大きな更新によって悪化する可能性がある構成管理の問題です。構成ファイルが変更されても、管理者がサービスを再起動しない場合があります。これは、ディスク上の構成がテストされたことがないことを意味し、実行中の構成が存在しない可能性があります。そのため、カーネルの更新を適用するとサービスが再起動されると、実際には再起動しない場合があります。それとも、異なる作用してもよいいったんそれが再起動します。
私のアドバイスは、更新を行うことですが、それについては賢明です。
/(別のシステムに)起動しdd、ドライブなどのイメージを取得します。復元できるものである限り。yum update -yそれを投げて、立ち去りたくありません。yumが行うすべての優れた機能について、依存関係に従って更新を適用するときに順序付けは行われません。これは過去に問題を引き起こしました。私はいつも走っていyum clean all && yum update -y yum && yum update -y glibc && yum updateます。これは、潜在的な順序付けの問題のほとんどを処理する傾向があります。これは、プラットフォームを変更する絶好の機会でもあります。RHEL6はかなり前からあります。このサーバーの機能によっては、新しいインスタンスを並行して立ち上げながら、このサーバーをそのまま実行するのが理にかなっている場合があります。それがインストールされたら、すべてのデータをコピーし、サービスをテストし、カットオーバーを実行できます。これにより、システムが標準化され、クリーンで、十分に文書化されており、すべてのジャズであることを一から知ることができます。
あなたが何をするにしても、あなたが現在のシステムに立ち向かうことはとても重要だと思います。あなたはあなたの仕事と完成品を信頼できる方法でそれをすることを確認する必要があります。
私の経験では、RHELは同じリリースのアップデートで後方互換性を壊しません。
ただし、rpmの外部にインストールされたものには拡張されません。
使用rpm -qfして、外部でコンパイルされている疑いのあるファイルを見つけることができます。「どのパッケージにも所有されていない」と返された場合、アップグレードに問題がある可能性があります。
私はサーバーのイメージを取得してアップグレードを行いますが、私はほとんどの場合よりも悪魔かもしれません。