Devo aggiornare i pacchetti del kernel su istanze EC2?

18

Sul mio server EC2, quando lo faccio sudo apt-get update && sudo apt-get upgrade, vedo:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

Devo andare avanti e fare sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualper forzare l'aggiornamento di questi pacchetti?

kernel  amazon-ec2 
Adam Monsen
fonte
3
O farlo apt-get update && apt-get upgrade && apt-get dist-upgrade. Ciò aggiornerà i pacchetti trattenuti.
Mark Russell,

Risposte:

18

La risposta breve è sì, è necessario mantenere aggiornati i sistemi in relazione alle patch di sicurezza.

Il modo esatto in cui implementare le patch di sicurezza dipende dalla tolleranza per il rischio. Ecco alcune opzioni che ho usato per rispondere a questa domanda in passato:

  1. Applica gli aggiornamenti a un set di sistemi di controllo qualità che imitano il tuo ambiente di produzione ed esegui tutti i test di regressione per assicurarti che le modifiche non rompano alcuna funzionalità o causino problemi di prestazioni. Una volta che sei soddisfatto, implementa gli aggiornamenti dei tuoi sistemi di produzione.

  2. Attendere un giorno e vedere se c'è una protesta pubblica per i problemi causati dagli aggiornamenti. Se tutto sembra tranquillo, aggiorna i tuoi sistemi di produzione.

  3. Applica ogni patch di sicurezza sui tuoi sistemi di produzione non appena è disponibile.

Ho usato una combinazione di tutti e tre questi approcci usando Ubuntu e nel corso degli anni mi sono spostato gradualmente verso l'opzione 3. Le patch di sicurezza sono pesantemente testate prima del rilascio e si presta molta attenzione a non interrompere le funzionalità esistenti. Non ho mai avuto problemi con l'aggiornamento delle immagini supportate da Ubuntu (anche se anni fa avevo riscontrato un problema quando stavo usando un kernel non Ubuntu con Ubuntu su EC2).

Si noti che l'aggiornamento del kernel richiede anche un riavvio per applicare le modifiche.

La suddetta esperienza e raccomandazioni si applicano solo all'aggiornamento all'interno di una versione di Ubuntu (ad es. 11.04). L'aggiornamento a una nuova versione di Ubuntu è un'attività molto più ampia e rischiosa e richiede sicuramente dei test prima di distribuirla ai sistemi di produzione.

Ecco un articolo su questo argomento che è stato appena pubblicato da RightScale su come gestire gli aggiornamenti di sicurezza nel loro ambiente:

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/

Eric Hammond
fonte
3
Buona risposta. Forse aggiungere una nota che l'aggiornamento del kernel è davvero possibile solo su istanze supportate da EBS? È ancora così, no?
Mark Russell,
3
Mark: Era vero che le istanze del negozio di istanze non potevano aggiornare i loro kernel sul posto, ma con il rilascio della paravirtualizzazione qualche tempo fa, i kernel reali potevano essere memorizzati sull'AMI e non sull'AKI. Ciò significa che l'istanza può aggiornare il kernel sul suo volume EBS locale e farlo attaccare dopo un riavvio anche se utilizza lo stesso AKI. Ho appena provato questo con Ubuntu 11.04 (us-east-1 ami-e2af508b) e l'istanza dell'istanza del negozio ha creato il kernel più recente corretto dopo un dist-upgrade e un riavvio.
Eric Hammond,
2
correzione al mio commento precedente: "l'istanza può aggiornare il kernel sul suo volume di root dell'archivio di istanze locale e farlo attaccare"
Eric Hammond,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.