it-swarm-ko.tech

커널 업데이트 후 Linux를 재부팅하는 것이 중요합니까?

우리 사이트와 사용자 셸 계정 (git vcs 작업, 일부 screen + irssi 세션 등에 사용)을 호스팅하는 프로덕션 Fedora 및 Debian 웹 서버가 몇 개 있습니다.

때때로 새로운 커널 업데이트가 yum/apt-get에서 파이프 라인으로 내려 오는데, 대부분의 수정 사항이 재부팅을 보증 할 수있을만큼 심각한 지 또는 수정 사항을 적용 할 수 있는지 궁금합니다. 재부팅하십시오.

우리의 메인 개발 서버는 현재 213 일의 가동 시간을 가지고 있으며, 그러한 오래된 커널을 실행하는 것이 안전하지 않은지 확신 할 수 없었습니다.

19
lfaraone

가동 시간이 길다는 것이 정말 특별한 것은 없습니다. 일반적으로 보안 시스템을 보유하는 것이 좋습니다. 모든 시스템은 어느 시점에서 업데이트가 필요합니다. 이미 업데이트를 적용하고있을 것입니다. 해당 업데이트를 적용 할 때 중단을 예약합니까? 무언가 잘못 될 경우를 대비하여 아마도해야 할 것입니다. 재부팅은 실제로 그렇게 많은 시간이 아니어야합니다.

시스템이 중단에 너무 민감하다면 모든 종류의 클러스터링 설정을 고려하여 모든 것을 중단하지 않고 클러스터의 단일 구성원을 업데이트해야합니다.

특정 업데이트에 대해 확실하지 않은 경우 재부팅을 예약하고 적용하는 것이 더 안전 할 수 있습니다 (가급적 다른 유사한 시스템에서 테스트 한 후).

업데이트가 중요한지 알아 보려면 시간을내어 보안 공지를 읽고 링크를 따라 CVE 또는 게시물/목록으로 돌아가십시오./문제를 설명하는 블로그. 이는 업데이트가 귀하의 경우에 직접 적용되는지 결정하는 데 도움이됩니다.

적용되지 않는다고 생각 되더라도 결국 시스템 업데이트를 고려해야합니다. 보안은 계층화 된 접근 방식입니다. 특정 시점에 다른 레이어가 실패 할 수 있다고 가정해야합니다. 또한 나중에 구성을 변경할 때 업데이트를 건너 뛰었 기 때문에 취약한 시스템이 있다는 사실을 잊을 수 있습니다.

어쨌든 데비안 기반 시스템에서 업데이트를 무시하거나 잠시 기다리려면 패키지를 보류 할 수 있습니다. 저는 개인적으로 만일을 대비하여 모든 커널 패키지를 보류하고 싶습니다.

Debian 기반 시스템에서 패키지에 대한 보류를 설정하는 CLI 방법.

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | Sudo dpkg --set-selections
24
Zoredache

대부분의 업데이트에는 재부팅이 필요하지 않지만 커널 업데이트에는 필요합니다 (다시 부팅하지 않고 실행중인 커널을 실제로 교체 할 수 없음).

내가 발견 한 한 가지는 서버가 재부팅하지 않고 오랫동안 실행되고 있다면 재부팅 할 때 디스크 검사 (fsck)를 수행 할 가능성이 더 높으며 이로 인해 복구하는 데 걸리는 시간이 크게 늘어날 수 있다는 것입니다. 다시 시작합니다. 이것을 예상하고 계획하는 것이 가장 좋습니다.

또한 구성 변경 사항이 때때로 누락 될 수 있으며 재부팅 (새 IP 주소/iptables 규칙 추가 등) 할 때까지 알 수 없다는 사실도 발견했습니다. 이로 인해 가끔 재부팅 할 때 "다운 타임 위험"이 추가됩니다.

재부팅을 수행 할 때 일부 다운 타임을 계획하는 것이 가장 좋습니다. 또는 이것이 바람직한 옵션이 아닌 경우 필요한 경우 재부팅이 수행 될 수 있도록 서버를 클러스터에 설정하십시오.

12
Brent

완전히 새로운 커널이 아니라 보안 업데이트 만 필요하다면 Ksplice -특정 커널 업데이트를 실행중인 커널에 패치 할 수 있습니다.

8
Tim

이에 대한 간단한 대답은 없습니다. 일부 커널 업그레이드는 실제로 보안과 관련이 없으며 일부는 사용자에게 영향을주지 않는 보안 문제를 해결할 수 있고 다른 일부는 사용자에게 영향을 미칠 수 있습니다.

가장 좋은 방법은 buntu 's security-announce 와 같은 관련 보안 메일 링리스트에 등록하여 보안 패치가 언제 나올지, 그리고 그들이 당신에게 어떤 영향을 미칠 수 있는지 볼 수 있도록하는 것입니다.

나는 또한 다른 패키지 업데이트의 세부 사항과 변경 로그를 얻기 위해 apticron 또는 이와 유사한 것을 고려할 것입니다.

3
theotherreceive

do n't 재부팅하는 경우 새 커널이 부팅시 시작되는 기본 커널이 아닌지 확인해야합니다.

마지막으로 원하는 것은 계획되지 않은 재시작 후 프로덕션에 사용되는 테스트되지 않은 커널입니다.

2
mibus

이것은 priv를 수정하는 경우 업데이트의 기능입니다. 루트 액세스로 이어지는 에스컬레이션을 적용 할 수 있습니다.

2
Avery Payne

Mibus가 언급했듯이 커널을 설치하고 안됨 재부팅하는 경우 기본값이 아닌지 확인하십시오. 서버가 다시 들어올 것인지 또는 어떤 상태에 있는지 알 수 없으므로 테스트를 거쳐야합니다.

즉, 가능하면 상당히 정기적으로 컴퓨터를 재부팅하는 습관을 갖는 것이 좋다고 생각합니다. 많은 하드웨어 및 소프트웨어 오류는 재부팅시에만 나타납니다. 예상치 못한 중단이 아닌 재부팅을 계획 할 때 이러한 오류에 대해 알아내는 것이 좋습니다.

1
Kamil Kisiel

일부 데비안 커널 업데이트는 적용한 후 최대한 빨리 재부팅해야합니다 (적극 권장).

차이가 모듈 디렉토리 변경을 보증하기에 충분하지 않지만 모듈이 다를 수있는 경우입니다.

이러한 커널 패키지를 설치할 때 데비안에서 경고를받습니다.

0
MikeyB