EC2インスタンスのカーネルパッケージをアップグレードする必要がありますか?


18

私のEC2サーバーで、私がそうするときsudo apt-get update && sudo apt-get upgrade、私は見ます:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

私は先に行くと行う必要がありますsudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualアップグレードするこれらのパッケージを強制的に?


3
またはするapt-get update && apt-get upgrade && apt-get dist-upgrade。これにより、保留されたパッケージがアップグレードされます。
マークラッセル

回答:


18

簡単な答えは、はい、セキュリティパッチに関してシステムを最新の状態に保つ必要があります。

セキュリティパッチをどの程度正確に展開するかは、リスクに対する許容度によって異なります。過去にこの質問に答えるために使用したいくつかのオプションは次のとおりです。

  1. 実稼働環境を模倣する一連のQAシステムにアップグレードを適用し、すべてのリグレッションテストを実行して、変更によって機能が破損したり、パフォーマンスの問題が発生したりしないようにします。満足したら、アップグレードを実稼働システムに展開します。

  2. 1日待って、更新プログラムによって引き起こされる問題について一般からの抗議があるかどうかを確認します。すべてが平和に思える場合は、運用システムをアップグレードします。

  3. すべてのセキュリティパッチが利用可能になり次第、運用システムに適用してください。

私はUbuntuを使用してこれらの3つのアプローチすべてを組み合わせて使用​​し、長年にわたってオプション3に徐々に移行しました。セキュリティパッチはリリース前に厳しくテストされており、既存の機能を破壊しないように細心の注意を払っています。Ubuntuでサポートされているイメージ内でのアップグレードに問題はありませんでした(EC2上のUbuntuでUbuntu以外のカーネルを使用していたときに問題がありました)。

カーネルをアップグレードすると、変更を適用するために再起動が必要になることに注意してください。

上記の経験と推奨事項、Ubuntuリリース(11.04など)のアップグレードにのみ適用されます。新しい Ubuntuリリースへのアップグレードは、はるかに大規模でリスクの高いタスクであり、実稼働システムに展開する前に必ずテストする必要があります。

以下に、RightScaleが発行したばかりの環境でのセキュリティアップグレードの管理方法に関するこのトピックに関する記事を示します。

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/


3
いい答えです。おそらく、カーネルのアップグレードは、EBS-backedインスタンスでのみ本当に可能であるというメモを追加しますか?まだそうですよね?
マークラッセル

3
マーク:インスタンスストアインスタンスではカーネルを所定の場所にアップグレードできなかったが、準仮想化のリリースにより、実際のカーネルはAKIではなくAMIに保存できるようになったことは事実でした。これは、インスタンスがローカルEBSボリュームのカーネルをアップグレードし、同じAKIを使用している場合でも、再起動後にカーネルを保持できることを意味します。これをUbuntu 11.04(us-east-1 ami-e2af508b)でテストしたところ、dist-upgradeと再起動後に、instance-storeインスタンスが正しい新しいカーネルになりました。
エリックハモンド

2
私の以前のコメントに対する修正:「インスタンスは、ローカルインスタンスストアルートボリューム上のカーネルをアップグレードし、それを保持させることができます」
エリックハモンド
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.