実動Centos Webサーバーを実行しています。更新を実行するためのベストプラクティスを知りたいです。yum-cronまたはyum-updatesdでこれを自動化する必要がありますか?または、更新プログラムがサイトを破壊する危険性があるため、テストサーバーで更新してから、毎週手動で更新プログラムを実行することをお勧めします。
サーバーの大部分は公式リポジトリのみを使用していますが、一部のサーバーでは、他の方法では利用できないPHPモジュールのアトミックリポジトリを使用しています。この場合に最適なものは何ですか?PHPモジュールにAtomicのみを使用するようにyumを設定できますか?Atomicの最先端のものにすべてをアップデートしたくないので、サーバーを安定して安全に保つために、むしろCentos(または実際にはRed Hat)を信頼します。
回答:
どちらの方法にも長所と短所があり、システムアーキテクチャを実際に操作して、どちらの方法が最適かを知る必要があります。どちらのルートを選択したとしても、その方法を選択した理由と、それらを補うために不利な点を理解する必要があります。
考慮すべき事項を次に示します。
セキュリティ更新プログラムは、常に何らかの方法で適用し、後でではなくより早く適用する必要があります。サーバーが何らかの理由でセキュリティ更新プログラムをタイムリーに適用していない場合は、システム管理者の習慣を修正してください。
ディストリビューションの更新は通常、特に公式ソースからのものである場合に有効です。それらを適用することに不快感を感じる場合、おそらくあなたはあなたのニーズに最適なディストリビューションを使用していないでしょう。方法論に合ったディストリビューションを使用する必要があります。言い換えれば、あなたが最善の利益になるように更新を信頼できるものです。動きが速すぎる場合や、ソフトウェアの変更を行って自分のものを壊す場合は、おそらく別のディストリビューションを使用する必要があります。
更新はあなたのものを壊す可能性があります。廃止された機能を使用したり、不適切なものを書いただけであれば、新しいソフトウェアに移行するとコードが破損する可能性があります。本番システムで実行する前に、アップデートで製品をテストできるシステムアーキテクチャを検討する必要があります。
自動更新機能を使用する場合、既知の動作構成にロールバックする方法が常に必要です。完全なシステムスナップショットは、何らかの更新により運用システムで製品が破損した場合に命を救うことができます。
これは完全なリストではなく、考えさせるためのいくつかのことです。結局のところ、これは他の誰かがあなたのためにすることができる決定ではありません。あなたは管理者です。システムを知る。あなたのディストリビューションを知っています。
私はカレブがすでに言ったことに100%同意します。私からのCentOS固有のノッチ:
配布はRedHatとそのパッチに基づいています。これらのパッチは非常に良好にテストされており、過去4年間に50台以上のサーバーでCentOS 5を使用してきましたが、決して悪いパッチはありませんでした。
ただし、ディストリビューションのみを実行するサーバーにすべてのパッチを毎日自動的に適用しますが、テストシステムをその構成で数日実行した後にのみ、運用サーバーを(glibcまたはカーネルの更新後に)起動します。
他のリポジトリについては、これらをステージングディレクトリにミラーリングします。これらのパッチは最初にテストサーバーに適用されます。何も壊れていないことが証明された場合、ステージングディレクトリをアクティブ化し、運用リポジトリにコピーします。
自動パッチを適用すると、パッチを適用したコンポーネントが頻繁に再起動されるという副作用があります。したがって、起動後にそれらを誤って設定すると、再起動が失敗します。