Форумы
| Kalina LUG :: Форумы :: Основной :: Администрирование |
|
<< Предыдущая тема | Следующая тема >> |
| Нужно ли обновлять сервер? | ||
| Переход на страницу >> | |
|
Модераторы: kalina, sanitar, NaTty, COMRADE_ARTYOM, variable, Solaris, az, Andreyf1
|
| Автор | Добавил | ||
| Solaris |
|
||
   ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Вот задался вопросом: есть сервера под Linux, сама ОС уже устарела и пакеты тоже, в старых пакетах могут быть уязвимости. Нужно ли обновлять сервер? Есть принцип админа: работает, не трогай! Ведь после обновления может отвалиться все. Внимание вопросы: обновлять ли саму ОС и обновлять ли пакеты программ? Если обновлять, то как? |
||
| Наверх |
|
||
| sanitar |
|
||
   ID пользователя #6
Зарегистрирован: Срд Фев 06 2008, 15:27Сообщений: 156 |
Solaris написал(а) ... Ведь после обновления может отвалиться все. Ты как нибудь постепенно обновляй, чтобы отваливалось не всё сразу  А вообще... Раз обновление приводит к тому, что сервер не запускается -- меняй дистрибутив и настраивай на нём всё "с нуля" |
||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Здесь конкретно не указан дистрибутив. Хотелось бы чтобы форумчане высказывали идеи, а также делились опытом по обновлению серверов. | ||
| Наверх |
|
||
| sanitar |
|
||
|
ID пользователя #6
Зарегистрирован: Срд Фев 06 2008, 15:27Сообщений: 156 |
Если весь софт, стоящий на сервере ставился из пакетов -- обновление штатными средствами дистрибутива Если есть софт, не входящий в дистрибутив (назовём его "внешний") -- на отдельный сервер ставится новая версия дистрибутива, доустанавливается "внешний" софт |
||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
А как же старые конфиги? Неужели все настраивать заново? | ||
| Наверх |
|
||
| sanitar |
|
||
|
ID пользователя #6
Зарегистрирован: Срд Фев 06 2008, 15:27Сообщений: 156 |
А что мешает скопировать старые конфиги со старого сервера на новый? | ||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
А очень просто: для этого нужно иметь 2 (это не опечатка) сервера, и я пытался запихнуть старый конфиг squid в новый сервер, выдал ошибку и все. | ||
| Наверх |
|
||
| sanitar |
|
||
|
ID пользователя #6
Зарегистрирован: Срд Фев 06 2008, 15:27Сообщений: 156 |
Solaris написал(а) ... выдал ошибку и все не верю, что ты на этом остановился!
|
||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Правильно что не веришь, настроил новый сервак с нуля, ну конечно же старые настройки перенес вручную. | ||
| Наверх |
|
||
| az |
|
||
|
ID пользователя #30
Зарегистрирован: Сбт Мар 01 2008, 13:42Сообщений: 273 |
написал(а) ... Вот задался вопросом: есть сервера под Linux, сама ОС уже устарела и пакеты тоже, в старых пакетах могут быть уязвимости. Нужно ли обновлять сервер? Тут ответ видимо зависит от вашего отношения к уязвимостям и задачам ,выполняемым сервером. Например если ваш сервер "серверит" файловое хранилище, которым только вы сами и пользуетесь, то, вероятно, вполне возможно принять решение и о ненадобности процедуры обновления. написал(а) ... Ведь после обновления может отвалиться все. Внимание вопросы: обновлять ли саму ОС и обновлять ли пакеты программ? Если обновлять, то как? Если, после обновления может отвалиться всё, то значит поставщик вашего дистрибутива либо такое обновления не поддерживает официально и в принципе вы поступаете на свой страх и риск, либо обновления, предосталяемые поставщиком, просто некачественнно выполнены. В любом случае надо различать security-обновления и обновления ПО как такового. Большинство известные мне поставщиков бинарных Linux-дистрибутивов (особенно специализированных серверных) предоставляют такие security-обновления на всём протяжении времени поддержки определённого дистрибутива. Т.е. тут стоит просто довериться поставщику. Причём поставщики стараются делать установку этих обновлений наиболее безболезненной и как правило именно так эти обносления и проходят. Если же при установке таких обновлений всё же возникают проблемы, это повод отписаться в систему регистрации ошибок дистрибутива. А вот с обновлением ПО как такового я не очень понимаю вопрос. К сожалению бинарные дистрибутивы уж так устроены, что обновить ВЕРСИЮ отдельно взятой программы не так уж и просто  Такие обновления порой тянут за собой множество зависимостей. Не говоря уж о том, где вы вообще собираетесь взять новые "пакеты программ", которые вы желаете обновлять. Да, порой такие пакеты можно взять из специализированных репозиториев, обычно называемых backports (т.е. новые программы для старые дистрибутивов), но вот кто обеспокоится безопасностью таких обновлённых пакетов -- не очень понятно. Поставщикам дистрибутивов, как я понимаю, хватает заботы о выпуске security-обновлений для своих стандартных дистрибутивов.Если же вы говорите об обновлении версии дистрибутива вообще -- то это вроде обсуждалось в другой ветке. Итого, вопрос обновлять или нет свой сервер зависит от кучи моментов. Например таких как область использования сервера, вообще принципиальное наличие таких штатных обновлений для вашего дистрибутива. Ну или брать ситуацию в руки и компилировать, компилировать, компилировать, постоянно поглядывая на http://cve.mitre.org/ и подобное. |
||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
В том то и проблема, что как правило сервер 1, отработать заранее на другом сервере, к сожалению не всегда представляется такая возможность. Если, после обновления может отвалиться всё, то значит поставщик вашего дистрибутива либо такое обновления не поддерживает официально и в принципе вы поступаете на свой страх и риск, либо обновления, предосталяемые поставщиком, просто некачественнно выполнены. Обновлял Alt Linux, с новой версии дистрибутива, с болванки, отвалилось все. Хм, буду иметь в виду. Все-таки непонятно. У кого есть опыт обновления именно серверов? |
||
| Наверх |
|
||
| az |
|
||
|
ID пользователя #30
Зарегистрирован: Сбт Мар 01 2008, 13:42Сообщений: 273 |
написал(а) ... Обновлял Alt Linux, с новой версии дистрибутива, с болванки, отвалилось все. Хм, буду иметь в виду. Видимо эта возможность не заявленa официально и вы как раз и действовали на свой страх и риск? написал(а) ... Все-таки непонятно. У кого есть опыт обновления именно серверов? А что конкретно непонято? У меня есть опыт. Сводится к security-обновлениям из штатного репозитория с обновлениям, как я и описывал выше. В общем непонятно, что именно непонятно |
||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Все непонятно непонятно, иначе бы не создал эту тему. А непонятно вот что: скажем я поставил пакет squid на сервер из исходных кодов, можно ли его обновить, чтобы информацию из старого конфига он подтянул? Если есть более свежая версия пакета. | ||
| Наверх |
|
||
| az |
|
||
|
ID пользователя #30
Зарегистрирован: Сбт Мар 01 2008, 13:42Сообщений: 273 |
Да, это возможно Я совершенно не понимаю, почему это должно быть невозможно, покуда у новой версии не поменялся формат конфигурационного файла (что в случае чистых security-обновлений скорее так, чем наоборот) и покуда вы самостоятельно собираете и старую и новую версию с одинаковыми ключами/фичами. |
||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Это все конечно так, НО как и писал выше формат конфигов squid отличался, а не будет ли в следующий раз такого, что он тоже будет отличаться? И не останется ли тогда организация без прокси? Как я понял вы обычно обновляете сервера с помощью security-обновлений. Так? Не было ли проблем с ними? И что вы делаете в случае когда перестают выпускать к вашему серверу security-обновления? |
||
| Наверх |
|
||
| az |
|
||
|
ID пользователя #30
Зарегистрирован: Сбт Мар 01 2008, 13:42Сообщений: 273 |
написал(а) ... Это все конечно так, НО как и писал выше формат конфигов squid отличался, а не будет ли в следующий раз такого, что он тоже будет отличаться? И не останется ли тогда организация без прокси? Увы, я не пророк. Может кто-то другой сможет ответить  написал(а) ... Как я понял вы обычно обновляете сервера с помощью security-обновлений. Так? Не было ли проблем с ними? И что вы делаете в случае когда перестают выпускать к вашему серверу security-обновления? Нет, с security-обновлениями проблем у меня не возникало. Но я слышал от других о возможных проблемах. Как правило они достаточно быстро исправляются поставщиками дистрибутивов. Когда время поддержки дистрибутива подходит к концу, можно просто обновиться до новой версии штатным способом, поддерживаемым производителем дистрибутива либо, как писал sanitar, произвести установку с нуля. Собственно, sanitar вроде достаточно хорошо ответил. [ Редактирование Втр Сен 22 2009, 17:27 ] |
||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Понятно, всем отписавшимся спасибо. Если будут еще мысли пишите. Может кто-то сможет раскрыть тему с другой стороны. | ||
| Наверх |
|
||
| param0n |
|
||
 ID пользователя #78
Зарегистрирован: Вск Янв 18 2009, 17:12Сообщений: 144 |
А подписать приказ о переносе твоего рабочего дня на пару-тройку часов? Чтобы ты, с чистой совестью, обновил необходимое ПО, когда его работоспособность для организации не критична?
|
||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Это все понятно, но тема о другом: а нормально ли все обновится? | ||
| Наверх |
|
||
| Solaris |
|
||
|
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
И главное как сделать чтобы все правильно обновилось? | ||
| Наверх |
|
||
| Переход на страницу >> | |
Powered by e107 Forum System
