Di solito è sicuro eseguire "apt-get upgrade" (in termini di stabilità) su un server di produzione?

18

Accedo spesso al mio server Ubuntu 12.04.2 (con Postgres 9.2.4 in esecuzione con dati di produzione live) e vedo qualcosa di simile a:

4 packages can be updated.
4 updates are security updates.

Questo succede ogni pochi giorni, ovviamente. Non sono interessato agli aggiornamenti automatici (meno cose posso cambiare quando dormo, meglio è), ma sono interessato a mantenere sempre aggiornato il mio server, quindi la mia domanda è: quando vedo un output come quello, è sempre considerato sicuro da eseguire apt-get upgrade, o ci sono momenti in cui può rompere le cose. Capisco che le patch non sono sempre perfette (da cui il citato "sempre" nel titolo), ma come regola generale, si presume che sia sicuro eseguirlo (specialmente se si tratta di un server di database rispetto a qualcosa che serve solo file CSS tramite Nginx )?

ubuntu  apt  ubuntu-12.04  update  patch-management 
orokusaki
fonte

Risposte:

9

In generale, sì, questo è sicuro. Per i pacchetti critici, tuttavia (Postgres, Nginx, ecc.), Consiglierei di aggiungere quei pacchetti a una versione specifica in modo che non vengano aggiornati. Quando Postgres viene aggiornato, ad esempio, riavvierà il server di database, che è qualcosa che si desidera poter pianificare per i tempi di inattività pianificati.

Detto questo, è sempre meglio testare gli aggiornamenti su un server di gestione temporanea prima di promuoverli alla produzione, quindi è qualcosa da considerare sull'aggiunta al processo di distribuzione.

EEAA
fonte
1
e riavviare se c'è un aggiornamento del kernel. Niente di peggio che trovare il tuo server non si avvia più senza intervento in caso di emergenza.
Sirex,
"Consiglierei di aggiungere quei pacchetti a una versione specifica in modo che non vengano aggiornati": Come?
vcardillo,
1
@vcardillo Effettua una ricerca su Google per "apt pinning".
SEE
5

Aptitude ha più facile da ricordare comandi: aptitude safe-upgradecontro aptitude full-upgrade. È comunque una buona idea installare in apt-listchangesmodo che ti vengano fornite informazioni sulle modifiche nei pacchetti aggiornati e l'opzione per annullare l'aggiornamento.

ptman
fonte
4

Sì e no. La maggior parte delle applicazioni sono OK, ma alcune applicazioni potrebbero non essere troppo felici per essere aggiornate.

Ho visto esempi in cui le applicazioni che utilizzano Java dalla 1.6.29 alla 1.6.30 interrompono l'applicazione. Ho anche visto mysql rompere tra 5.0.X 5.0.X + 1 (non ricordare i numeri esatti qui).

Le applicazioni di sistema dovrebbero essere per lo più OK, ma dovresti leggere attentamente le note di rilascio delle applicazioni che il tuo server sta effettivamente fornendo.

Leggi cosa cambia nginx, cerca di capire se ci sono cambiamenti che possono influenzare la tua particolare configurazione. Più si utilizza un'applicazione avanzata, più è facile romperla.

espenfjo
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.