这是一个创建于 950 天前的主题,其中的信息可能已经有所发展或是发生改变。
你们在管理服务器上的系统时是不是也会定期执行 apt upgrade 或者 yum update 之类的命令保证服务器系统上的软件源和包都是最新的 避免系统和软件的漏洞影响服务器安全
 |
1
Chism 2022-04-20 21:23:58 +08:00
2019 年 1 折买的三年阿里云服务器,到现在都还没更新过
|
 |
2
kingjpa 2022-04-20 21:38:33 +08:00
系统级的更新还是不要,有过极其惨痛教训,centos yum update 后无法启动,原因不明,总之就是无法启动了,ssh vnc 都没法用, 还好数据库和代码都有每日备份
|
 |
3
oed 2022-04-20 21:45:28 +08:00
做完备份再更新
|
 |
4
noqwerty 2022-04-20 21:45:49 +08:00
只打安全更新可以看看 unattended-upgrades
|
 |
5
dlsflh 2022-04-20 21:46:20 +08:00 via Android
Linux 有 security update 这种东西吗?
|
 |
6
lcy630409 2022-04-20 21:48:54 +08:00
服务器正常运行就可以了,摸都不要去摸一下,,
|
 |
7
tengyufei 2022-04-20 21:49:10 +08:00 via Android
快照完更新比较好吧
|
 |
8
lovepplforever 2022-04-20 22:21:24 +08:00 via iPhone
别随便更新
|
 |
9
wangkun025 2022-04-20 22:23:26 +08:00
我是更新的。前提是我自己管理着。几年没出过问题。
|
 |
10
villivateur 2022-04-20 22:24:48 +08:00 via Android
我 Ubuntu 每个星期更新一次,特别是安全性更新,我怕漏洞
|
 |
11
cszchen 2022-04-20 22:29:44 +08:00 via iPhone
不敢随便更新
|
 |
12
Illusionary 2022-04-20 22:31:52 +08:00
我可能会在下次买服务器的时候选新版系统镜像,但绝对不会在已有的系统上升级系统,最多更新内核
|
 |
13
westoy 2022-04-20 22:38:38 +08:00
deb 系可以设置 unattended-upgrades 的, 没事上去看看需不需要重启就行了
还可以订阅一下 debian-security-announce 的邮件列表 |
 |
14
adoal 2022-04-20 22:59:50 +08:00 via iPhone
开自带更新但只启用 security channel
|
|
15
adoal 2022-04-20 23:00:11 +08:00 via iPhone
自带➡️自动
|
 |
16
Showfom 2022-04-20 23:04:43 +08:00
需要更新,尤其是安全更新,最好是自己订阅邮件列表,有了就去更新
|
|
17
adoal 2022-04-20 23:14:10 +08:00  1
为啥我要自动更新呢?很多年前遇到一起案例,隔壁专项组的一台服务器,好像是 CentOS 3 还是 4 来着,被重度入侵了。检查了一下,两件蠢事凑在了一起,一是 sshd 没禁用 PasswordAuthentication 二是从来没更新,正好 sshd 本身有个安全漏洞,导致用口令认证登录时可以精心构造数据直接认证成功……这两项只要有一项处理了就不会被裸破进去。虽然隔壁专项组的系统不归我管,但毕竟是同一个单位里的。这事对我的心态影响很大。再后来经我手的 Linux 服务器如无特殊理由一概开启自动更新(怕出兼容性问题的至少对 security channel 更新开启,如果实在怕,在 RH 系上至少对 critical 等级的 security channel 更新开启),一概在配好公钥认证后关闭口令认证。虽然有点 PTSD ,但总比莫名其妙被入侵了好。
|
|
18
adoal 2022-04-20 23:16:53 +08:00
如果团队结构完善,人员精力够,应该像有几楼说的那样,订阅邮件列表,有了安全更新,review 一下,有必要的再更,以免破坏某些“依赖”特定 bug 的业务系统代码。
但是很多传统单位的综合信息化人员是没精力这样做的。 |
 |
19
documentzhangx66 2022-04-20 23:59:25 +08:00
1.肯定需要。
2.Linux 系统与环境的安全与升级,由运维去做。 3.Linux 系统中运行的用户代码的安全与升级,由代码的开发公司去做。 4.更简单的方法是,对服务器区域的入口,购买第七层(应用层)防火墙,比如入侵检测、WAF 这种,能分析 http 与 https 的具体流量内容。 而不是第 3 层像 iptables 或 firewall 那种。 然后做好配置与自动升级,关键是出事后可以由防火墙厂家担责。并且这些厂家也有专门团队去跟着 0day 并及时下发最新的补丁包。 5.做好等保,出事了有等保担一部分责。 |
 |
20
biubiuF 2022-04-21 00:05:09 +08:00
不更新,更新要开变更会议,流程很麻烦
|
 |
21
zachary99 2022-04-21 00:18:18 +08:00 via iPad
没问题绝对不更新
|
 |
22
yanqiyu 2022-04-21 00:21:01 +08:00
一般懒得维护的服务器会用 CoreOS+检测服务状态回滚版本 (自己的玩具 VPS 而不是涉及身家的生产环境)
要是生产环境应该可以上集群灰度更新+状态检测?实现跟随发行版更新的同时不一下炸掉生产环境? |
 |
23
echo1937 2022-04-21 00:22:25 +08:00 via iPhone
只开安全更新
|
 |
24
pengtdyd 2022-04-21 00:45:06 +08:00
更新??????
干这行不是有句真理吗:又不是不能跑,你干嘛动它? |
 |
25
461da73c 2022-04-21 01:25:34 +08:00 via Android
开发机直接弄了个计划任务每天自动更新,爽。
|
 |
26
zengxs 2022-04-21 01:47:23 +08:00
ubuntu-server 会自动打安全补丁
|
 |
27
istevenshen 2022-04-21 08:42:32 +08:00
2014 年的集群服务器,CentOS 6.5 用到现在,不敢更新~
|
 |
28
mingl0280 2022-04-21 09:14:06 +08:00 via Android 1
必须更,月度强制更新(安全补丁),IT 定的,哪怕服务挂了也要更……
你想想要是你家根证书发行商被黑了,那乐子就大了啊哈哈哈哈 |
 |
29
ericguo 2022-04-21 09:28:23 +08:00
你可以反着想想,如果没必要更新,为啥厂商要出这个补丁呢?
手头就有一台 CentOS 8 的 Gold version ,只要重启就掉盘,我接手的时候我 TMD 都惊呆了,这得多懒才不更新一下补掉这么显而易见的 bug ?结果现在倒好 CentOS 8 的更新都停了,现在这机器不能重启,重启后就得用另外的 CentOS 系统恢复盘恢复磁盘才能重启成功。 对于这样的机器,你问我要不要更新,我肯定是回答不更新的,只要不是我维护,怎么样都行。 |
 |
30
photon006 2022-04-21 09:35:09 +08:00
每天执行一次,全年只有圣诞节那几天没有更新,平常工作日几乎都有。
|
|
32
ericguo 2022-04-21 10:42:49 +08:00
@litguy 这种问题确实没法解,不是不能解,是我犯不着花那么多精力去搞一个没有效益没有影响的问题。
更新固然有风险,但是这些风险是这世界上的所有更新的人都会遇到的,大家都会承受的风险摊到个人头上又有多少呢?更何况真的常用系统更新挂了都能上新闻好吗?但是你不更新,时间长了,那就是单单独独的自己的问题,你就是开 support ticket ,人家第一句都是不好意思,我们只支持最新版本。 |
 |
33
wonderfulcxm 2022-04-21 10:46:49 +08:00 via iPhone
看到这个帖子,立马去执行了一次更新
|
 |
34
fengjianxinghun 2022-04-21 10:49:47 +08:00
要是买 redhat 服务了,随便更新。。
要是没买。。我是不敢更新 |
 |
35
liuzhaowei55 2022-04-21 10:54:35 +08:00 via iPhone
不更新,一般是新建服务器迁移服务
|
 |
36
liuxu 2022-04-21 11:26:16 +08:00 1
建议不更新的人用下 freebsd ,freebsd12.3-release 出来后,freebsd12.2-release 给 3 个月升级时间
|
 |
37
bthulu 2022-04-21 11:48:09 +08:00
一直自动更新省心
|
 |
38
kokutou 2022-04-21 12:26:42 +08:00 via Android 1
不更新等着被挂马吗。。
|
 |
39
LxnChan 2022-04-21 13:44:08 +08:00
我家里的服务器在 ubuntu 更新内核后重启会死机,即便是不重启在更新结束 24 小时后出现各种问题,然后重启就也没什么反应了(看 ttl 内容应该是已经完成 ubuntu 引导了),好在是有备份,恢复就行了。
至于安全问题,设置好防火墙的前提下不会有什么问题的 |
 |
40
CSGO 2022-04-21 13:45:39 +08:00
小白求问宝塔需要手动更新吗
|
 |
41
t2jk4000 2022-04-21 13:47:20 +08:00
需要
|
 |
42
Symo 2022-04-21 13:50:07 +08:00 1
更新应该是有策略的, 肯定不能拿一台单点服务器莽啊.
比如出了心脏滴血漏洞难道也不升级吗. |
 |
43
wangyzj 2022-04-21 13:51:53 +08:00
2011 年的阿里云 centos6 一直用到现在
然后换了腾讯云,阿里云不用了 |
 |
44
dreamage 2022-04-21 17:04:37 +08:00
自己的服务器每天更新
公司的服务器基本不更新 |
 |
45
RivetCity 2022-04-21 17:09:32 +08:00
还是要更新的,关键看你们运维(或者外部支持)的技术实力。
按道理要定期评估补丁,然后决定上不上。 |
 |
46
libook 2022-04-21 17:11:52 +08:00
周期性打安全补丁。
软件更新取决于是否有必要,因为版本越旧,就越经过时间检验,就越能掌握全面的情况。 理想情况下,做任何变动都要对软件包进行审计,以确保变动后符合预期,避免引入问题;但大多单位应该都没有这种条件。 |
 |
47
superchijinpeng 2022-04-21 17:13:11 +08:00
kde neon 日更
|
 |
48
alzee 2022-04-21 17:23:07 +08:00
这是我“Linux 一键装机脚本”里的一个函数,每台必跑
``` setup_auto_upgrade(){ local file o m d r if [ "$distro" = debian ]; then sudo $pkg install -y unattended-upgrades # In case not installed yet. file=/etc/apt/apt.conf.d/50unattended-upgrades # ${distro_codename}-updates & ${distro_codename}-proposed-updates o='origin=Debian,codename=${distro_codename}.*-updates' m='Unattended-Upgrade::Mail ' d='Unattended-Upgrade::Remove-Unused-Dependencies' # Automatic-Reboot & Automatic-Reboot-WithUsers r='Unattended-Upgrade::Automatic-Reboot.*"\(false\|true\)"' # Set mail to sudo sed -i "/$m/s:\"\":\"$user\":" $file # Set Remove-Unused-Dependencies, Automatic-Reboot and Automatic-Reboot-WithUsers to true sudo sed -i "/$d\|$r/s:false:true:" $file # Uncomment these lines sudo sed -i "/$o\|$m\|$d\|$r/s://::" $file # Generate /etc/apt/apt.conf.d/20auto-upgrades sudo dpkg-reconfigure -plow unattended-upgrades fi if [ "$distro" = fedora ]; then sudo $pkg install -y dnf-automatic # In case not installed yet. local file=/etc/dnf/automatic.conf sudo sed -i '/apply_updates/s/no/yes/' $file sudo systemctl enable --now dnf-automatic.timer postfix fi } ``` |
|
49
alzee 2022-04-21 17:41:03 +08:00 1
这个脚步作用就是开启自动更新,时间就是用系统默认的,debian 6:00AM ,fedora 3:00PM 。每天更新,debian 的自动重启看情况。
没出过问题。而且以我的经验,如果更新后出问题,基本都不是更新的问题,而是项目不规范。 服务器我都用的 debian ,工作站都用的 fedora 而且 debian 我从来都是用 testing 的。 |
 |
50
XiLingHost 2022-04-21 17:50:46 +08:00
所有服务都跑在集群上,节点更新肯定不影响的,不过大多数时候集群自动伸缩新创建的节点就会是新版本的了
|
 |
51
findex 2022-04-21 17:52:41 +08:00 1
security patches must be upgraded
|
 |
52
stanjia 2022-04-21 17:54:57 +08:00 2
* Linux 不等于 CentOS
* 出门一定要锁门 |
 |
53
wu67 2022-04-21 17:55:09 +08:00
还能跑我都不动...设置个定时重启...
|
 |
54
bruce0 2022-04-21 18:14:40 +08:00
云服务有安全问题一般都会发邮件提醒有安全问题一般都会更新,更新前先备份一下,出问题了能回滚
本地自己玩的 linux 都会更新, 虚拟机里的也会先备份一下 像公司内网用的 linux, 从来没用更新过, 因为在内网, 有安全漏洞也没啥影响, 万一更新出了问题 还给自己增加工作量 |
 |
55
ragnaroks 2022-04-21 19:49:04 +08:00
每周定时更新,如果自己处理不了最好找个专业的运维
|
 |
56
gamexg 2022-04-21 20:03:17 +08:00
我维护的代码服务器是想起来就更新,大概 1 个月一次。
线上的不清楚具体频率,应该还也是每月左右更新一次。 |
 |
57
ladypxy 2022-04-21 20:17:10 +08:00 via iPhone
linux 更新可不仅仅是一月一次,而是随时有安全更新就要安装……
|
 |
58
kwanzaa 2022-04-21 20:25:01 +08:00
有空就更新,只更新全部下线服务的机器。
|
 |
59
learningman 2022-04-21 20:35:58 +08:00
没 CVE 就不动,不过反正服务也跑在 docker 里,外面怎么样了无所谓了
|
 |
60
alsas 2022-04-21 21:02:21 +08:00
疯狂作死行为
|
 |
61
ttgo 2022-04-21 21:06:54 +08:00
不敢。
|
 |
62
kongkongyzt 2022-04-21 23:25:36 +08:00
@lcy630409 同感。。。
|
 |
63
ihciah 2022-04-22 01:27:16 +08:00 via iPhone
https://gist.github.com/ihciah/3fa05d09955355cba67f89c53698be2f
没开 unattened upgrade ,但搞了个 ansible 脚本一键升级所有我管理的机器。相比自动升级,万一升出严重问题立刻就能意识到并且修掉。 |
 |
64
tiga99 2022-04-22 09:36:35 +08:00
使用 apt 或 yum 更新到最新的不代表就修复漏洞了;系统本身的漏洞外人也没法搞你,通常容易出现问题的是 openssh,openssl,nginx,tomcat 这些;这些基础组件和应用,(默认情况下)你使用各大发行版命令更新通常也不会升级到最新版本,还是需要手动更新
|
 |
65
AilF 2022-04-22 09:45:16 +08:00
安全补丁更新,其他略过,踩过好多次坑了
|
 |
66
maxbon 2022-04-22 10:26:30 +08:00
那些推荐更新的,不知道是不是没接触过生产环境。。不能瞎更新的,哪怕是安全补丁,也要根据情况来看怎么更,而不是无脑更新,更一个组件带崩整个系统的事不要太常见
|
 |
68
yinzhili 2022-04-22 12:41:37 +08:00
万一崩了你能背锅就行
|
Select Language