it-swarm-es.com

¿Es importante reiniciar Linux después de una actualización del kernel?

Tengo algunos servidores web de producción Fedora y Debian que alojan nuestros sitios, así como cuentas de Shell de usuario (utilizadas para el trabajo de git vcs, algunas sesiones de pantalla + irssi, etc.).

Ocasionalmente, aparecerá una nueva actualización del kernel en yum/apt-get, y me preguntaba si la mayoría de las correcciones son lo suficientemente graves como para justificar un reinicio, o si puedo aplicar las correcciones sin reiniciar.

Nuestro servidor de desarrollo principal tiene actualmente 213 días de tiempo de actividad, y no estaba seguro de si era inseguro ejecutar un kernel tan antiguo.

19
lfaraone

No hay nada realmente especial en tener un tiempo de actividad prolongado. Generalmente es mejor tener un sistema seguro. Todos los sistemas necesitan actualizaciones en algún momento. Probablemente ya esté aplicando actualizaciones, ¿programa interrupciones cuando aplica esas actualizaciones? Probablemente debería hacerlo en caso de que algo salga mal. En realidad, un reinicio no debería tanto tiempo.

Si su sistema es tan sensible a las interrupciones, probablemente debería pensar en algún tipo de configuración de agrupación para actualizar un solo miembro de la agrupación sin que todo se caiga.

Si no está seguro acerca de una actualización en particular, probablemente sea más seguro programar un reinicio y aplicarla (preferiblemente después de probarla en otro sistema similar).

Si está interesado en saber si la actualización es importante, tómese un tiempo para leer el aviso de seguridad y siga los enlaces de regreso a CVE o las publicaciones/listas/blogs que describen el problema. Esto debería ayudarlo a decidir si la actualización se aplica directamente en su caso.

Incluso si no cree que se aplique, debería considerar actualizar su sistema eventualmente. La seguridad es un enfoque en capas. Debe asumir que en algún momento esas otras capas pueden fallar. Además, es posible que olvide que tiene un sistema vulnerable porque omitió una actualización cuando cambió la configuración en algún momento posterior.

De todos modos, si desea ignorar o esperar un poco la actualización en sistemas basados ​​en Debian, puede poner el paquete en espera. Personalmente, me gusta retener todos los paquetes del kernel por si acaso.

Método CLI para establecer una retención en un paquete en sistemas basados ​​en Debian.

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | Sudo dpkg --set-selections
24
Zoredache

La mayoría de las actualizaciones no requieren un reinicio, pero las actualizaciones del Kernel sí (realmente no puede reemplazar el kernel en ejecución sin reiniciar).

Una cosa que he descubierto es que si su servidor ha estado funcionando durante mucho tiempo sin reiniciar, es más probable que desee realizar comprobaciones de disco (fsck) cuando reinicie, y esto puede aumentar significativamente el tiempo que lleva volver en funcionamiento de nuevo. Es mejor anticipar esto y planificarlo.

También descubrí que los cambios de configuración a veces se pueden perder y no se notarán hasta que reinicie (como agregar nuevas direcciones IP/reglas de iptables, etc.). Esto también aumenta el "riesgo de tiempo de inactividad" cuando se reinicia con poca frecuencia.

Lo mejor es planificar algún tiempo de inactividad al reiniciar, o si esta no es una opción deseable, configure sus servidores en clústeres para que se puedan reiniciar si es necesario.

12
Brent

Si solo necesita actualizaciones de seguridad y no un kernel completamente nuevo, puede que le interese Ksplice - le permite parchear ciertas actualizaciones del kernel en un kernel en ejecución.

8
Tim

No hay una respuesta simple a esto, algunas actualizaciones del kernel no están realmente relacionadas con la seguridad y algunas pueden solucionar problemas de seguridad que no lo afectan, mientras que otras pueden afectarlo.

En mi opinión, el mejor enfoque es suscribirse a las listas de correo de seguridad relevantes como buntu's security -nounce para que pueda ver cuándo están saliendo los parches de seguridad y cómo podrían afectarlo.

También consideraría apticron o similar para obtener los detalles y registros de cambios de cualquier otra actualización del paquete.

3
theotherreceive

En el caso de que no reinicie, debe asegurarse de que el nuevo kernel no sea el predeterminado para iniciar en el inicio.

Lo último que desea es utilizar un kernel no probado para la producción después de un reinicio no planificado.

2
mibus

Esta es una función de la actualización, si arregla un priv. escalada que da como resultado el acceso de root, entonces es posible que desee aplicarlo.

2
Avery Payne

Como mencionó mibus, si instala el kernel y no reinicia, asegúrese de que no sea el predeterminado. No sabe si su servidor volverá a funcionar o en qué estado, así que asegúrese de que esté probado.

Dicho esto, creo que es bueno adquirir el hábito de reiniciar las máquinas con bastante regularidad cuando sea posible. Una gran cantidad de fallas de hardware y software se manifestarán solo en un reinicio y es mejor averiguarlas cuando esté planeando un reinicio en lugar de durante una interrupción no planificada.

1
Kamil Kisiel

Tenga en cuenta que algunas de las actualizaciones del kernel de Debian requieren (bueno, muy recomendable) que reinicie lo antes posible después de aplicarlas.

Este es el caso cuando la diferencia no es suficiente para justificar un cambio de directorio de módulos, pero los módulos pueden diferir.

Debian le advertirá cuando instale dichos paquetes de kernel.

0
MikeyB