ubuntu szerver biztonsági frissítések biztonságosan

UNIX kezdő

Üdv mindenkinek!

Egy ideje ismerkedek ubuntu szerver és desktop megoldásaival, és lenne egy kérdésem főleg szerver oldalról.
Elég sokszor tapasztaltam azt még win-es időszakomból hogy biztonsági frissítések telepítése után valami rendszer konfig elállítódott, vagy netán összeborult az egész rendszer.
Ubuntu-nál (főleg egy jól beállított szerveren) hogyan működik ez biztonságosan, hogy ha vmi mégsem jó akkor az frissítés után "visszavonható" legyen.
Szal hogyan lehet szerveren biztonságosan frissíteni?

  • 5421 megtekintés

( zitev v | 2011. 07. 24., v – 10:57 )

pl. legyen mindig backup a config-állományaidról, rendszeredről!

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( kirsa74 | 2011. 07. 24., v – 11:01 )

don't upgrade if purify does not complain

( zeller | 2011. 07. 24., v – 14:02 )

Production szerver mellett illendő lenne tesztkiszolgálónak is lenni, amin csontra ugyanaz fut, ami az élesen (az éles mentéséből készül a tesztkörnyezet). Ezen a tesztkörnyezeten sozkás a frissítéseket, új szoftvereket telepíteni és tesztelni, aztán ha működik (a meghatározott tesztek hibátlanul lefutnak), nincs vele gond, mehet az élesre is - célszerűen egy teljes mentést követően.

Egypécés esetben vagy csinálsz egy virtualizált "homokozót" (vmware, xen, akármi), amiben nagyjából az van, ami az éles szerveren, és ott próbálod ki a frissítéseket, vagy pedig alaposan olvasod a kiadási megjegyzéseket, magyarul release notes-okat (ha vannak - windows esetében voltak/vannak, és NAGYON javasolt elolvasni, megérteni azokat, mert akkor nem fognak "valahogy" elállítódni dolgok), illetve "követed" a kritikus szoftverek változásait.

ez a tesztkiszolgalo moka csak akkor kezd erdekes lenni amikor mar egy halom szervered van... (mondjuk >30).

Amugy ubuntu frissites csak sec update, es csak bugokat javitottak, a config fajl felepitese nem modosul. (van is valami apt opcio ami a sec updateket automatan felrakja)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Az a 30+ szerver normális esetben "egykaptafa" OS-ből és rajta futkorászó alkalmazásokból áll össze - normális körülmények között saját tesztelt repóval és valamilyen konfiguráció-menedzsment megoldással.
Éles, üzletileg kritikus kiszolgálón a szolgáltatás működéséhez kapcsolódó szoftverkomponenst tesztelés nélkül frissíteni/módosítani nem egy életbiztosítás - még akkor sem, ha "csak" biztonsági javításról van szó.

A "csak sec. update" esetén lehet, hogy nem módosul a konfigurációs fájl, de lehet, hogy igen. Ha pl. az adott szoftver alapbeállítás szerint "lukas", és ezt lehet orvosolni a konfig módosításával, akkor a javítócsomagban ez is meg fog jelenni - miközben te lehet, hogy n+1 másik beállítást már megváltoztattál, sőt az is lehet, hogy ezt a "lukat" használja az alkalmazás is. Tesztelés nélkül nincs egyértelmű válasz arra, hogy a frissítés okoz-e adott szerveren gondot, szolgáltatás-kiesést, vagy sem.