Linux 服务器需要每个月更新系统吗
你们在管理服务器上的系统时是不是也会定期执行 apt upgrade 或者 yum update 之类的命令保证服务器系统上的软件源和包都是最新的 避免系统和软件的漏洞影响服务器安全
2019 年 1 折买的三年阿里云服务器,到现在都还没更新过
系统级的更新还是不要,有过极其惨痛教训,centos yum update 后无法启动,原因不明,总之就是无法启动了,ssh vnc 都没法用, 还好数据库和代码都有每日备份
做完备份再更新
只打安全更新可以看看 unattended-upgrades
Linux 有 security update 这种东西吗?
服务器正常运行就可以了,摸都不要去摸一下,,
快照完更新比较好吧
别随便更新
我是更新的。前提是我自己管理着。几年没出过问题。
我 Ubuntu 每个星期更新一次,特别是安全性更新,我怕漏洞
不敢随便更新
我可能会在下次买服务器的时候选新版系统镜像,但绝对不会在已有的系统上升级系统,最多更新内核
deb 系可以设置 unattended-upgrades 的, 没事上去看看需不需要重启就行了
还可以订阅一下 debian-security-announce 的邮件列表
开自带更新但只启用 security channel
自带➡️自动
需要更新,尤其是安全更新,最好是自己订阅邮件列表,有了就去更新
为啥我要自动更新呢?很多年前遇到一起案例,隔壁专项组的一台服务器,好像是 CentOS 3 还是 4 来着,被重度入侵了。检查了一下,两件蠢事凑在了一起,一是 sshd 没禁用 PasswordAuthentication 二是从来没更新,正好 sshd 本身有个安全漏洞,导致用口令认证登录时可以精心构造数据直接认证成功……这两项只要有一项处理了就不会被裸破进去。虽然隔壁专项组的系统不归我管,但毕竟是同一个单位里的。这事对我的心态影响很大。再后来经我手的 Linux 服务器如无特殊理由一概开启自动更新(怕出兼容性问题的至少对 security channel 更新开启,如果实在怕,在 RH 系上至少对 critical 等级的 security channel 更新开启),一概在配好公钥认证后关闭口令认证。虽然有点 PTSD ,但总比莫名其妙被入侵了好。
如果团队结构完善,人员精力够,应该像有几楼说的那样,订阅邮件列表,有了安全更新,review 一下,有必要的再更,以免破坏某些“依赖”特定 bug 的业务系统代码。
但是很多传统单位的综合信息化人员是没精力这样做的。
1.肯定需要。
2.Linux 系统与环境的安全与升级,由运维去做。
3.Linux 系统中运行的用户代码的安全与升级,由代码的开发公司去做。
4.更简单的方法是,对服务器区域的入口,购买第七层(应用层)防火墙,比如入侵检测、WAF 这种,能分析 http 与 https 的具体流量内容。
而不是第 3 层像 iptables 或 firewall 那种。
然后做好配置与自动升级,关键是出事后可以由防火墙厂家担责。并且这些厂家也有专门团队去跟着 0day 并及时下发最新的补丁包。
5.做好等保,出事了有等保担一部分责。
不更新,更新要开变更会议,流程很麻烦
没问题绝对不更新
一般懒得维护的服务器会用 CoreOS+检测服务状态回滚版本 (自己的玩具 VPS 而不是涉及身家的生产环境)
要是生产环境应该可以上集群灰度更新+状态检测?实现跟随发行版更新的同时不一下炸掉生产环境?
只开安全更新
更新??????
干这行不是有句真理吗:又不是不能跑,你干嘛动它?
开发机直接弄了个计划任务每天自动更新,爽。
ubuntu-server 会自动打安全补丁
2014 年的集群服务器,CentOS 6.5 用到现在,不敢更新~
必须更,月度强制更新(安全补丁),IT 定的,哪怕服务挂了也要更……
你想想要是你家根证书发行商被黑了,那乐子就大了啊哈哈哈哈
你可以反着想想,如果没必要更新,为啥厂商要出这个补丁呢?
手头就有一台 CentOS 8 的 Gold version ,只要重启就掉盘,我接手的时候我 TMD 都惊呆了,这得多懒才不更新一下补掉这么显而易见的 bug ?结果现在倒好 CentOS 8 的更新都停了,现在这机器不能重启,重启后就得用另外的 CentOS 系统恢复盘恢复磁盘才能重启成功。
对于这样的机器,你问我要不要更新,我肯定是回答不更新的,只要不是我维护,怎么样都行。
每天执行一次,全年只有圣诞节那几天没有更新,平常工作日几乎都有。
没遇到这个 bug ,怀疑是引导扇区问题
这种问题确实没法解,不是不能解,是我犯不着花那么多精力去搞一个没有效益没有影响的问题。
更新固然有风险,但是这些风险是这世界上的所有更新的人都会遇到的,大家都会承受的风险摊到个人头上又有多少呢?更何况真的常用系统更新挂了都能上新闻好吗?但是你不更新,时间长了,那就是单单独独的自己的问题,你就是开 support ticket ,人家第一句都是不好意思,我们只支持最新版本。
看到这个帖子,立马去执行了一次更新
要是买 redhat 服务了,随便更新。。
要是没买。。我是不敢更新
不更新,一般是新建服务器迁移服务
建议不更新的人用下 freebsd ,freebsd12.3-release 出来后,freebsd12.2-release 给 3 个月升级时间
一直自动更新省心
不更新等着被挂马吗。。
我家里的服务器在 ubuntu 更新内核后重启会死机,即便是不重启在更新结束 24 小时后出现各种问题,然后重启就也没什么反应了(看 ttl 内容应该是已经完成 ubuntu 引导了),好在是有备份,恢复就行了。
至于安全问题,设置好防火墙的前提下不会有什么问题的
小白求问宝塔需要手动更新吗
需要
更新应该是有策略的, 肯定不能拿一台单点服务器莽啊.
比如出了心脏滴血漏洞难道也不升级吗.
2011 年的阿里云 centos6 一直用到现在
然后换了腾讯云,阿里云不用了
自己的服务器每天更新
公司的服务器基本不更新
还是要更新的,关键看你们运维(或者外部支持)的技术实力。
按道理要定期评估补丁,然后决定上不上。
周期性打安全补丁。
软件更新取决于是否有必要,因为版本越旧,就越经过时间检验,就越能掌握全面的情况。
理想情况下,做任何变动都要对软件包进行审计,以确保变动后符合预期,避免引入问题;但大多单位应该都没有这种条件。
kde neon 日更
这是我“Linux 一键装机脚本”里的一个函数,每台必跑
setup_auto_upgrade(){
local file o m d r
if [ "$distro" = debian ]; then
sudo $pkg install -y unattended-upgrades # In case not installed yet.
file=/etc/apt/apt.conf.d/50unattended-upgrades
# ${distro_codename}-updates & ${distro_codename}-proposed-updates
o='origin=Debian,codename=${distro_codename}.*-updates'
m='Unattended-Upgrade::Mail '
d='Unattended-Upgrade::Remove-Unused-Dependencies'
# Automatic-Reboot & Automatic-Reboot-WithUsers
r='Unattended-Upgrade::Automatic-Reboot.*"\(false\|true\)"'
# Set mail to
sudo sed -i "/$m/s:\"\":\"$user\":" $file
# Set Remove-Unused-Dependencies, Automatic-Reboot and Automatic-Reboot-WithUsers to true
sudo sed -i "/$d\|$r/s:false:true:" $file
# Uncomment these lines
sudo sed -i "/$o\|$m\|$d\|$r/s://::" $file
# Generate /etc/apt/apt.conf.d/20auto-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades
fi
if [ "$distro" = fedora ]; then
sudo $pkg install -y dnf-automatic # In case not installed yet.
local file=/etc/dnf/automatic.conf
sudo sed -i '/apply_updates/s/no/yes/' $file
sudo systemctl enable --now dnf-automatic.timer postfix
fi
}
这个脚步作用就是开启自动更新,时间就是用系统默认的,debian 6:00AM ,fedora 3:00PM 。每天更新,debian 的自动重启看情况。
没出过问题。而且以我的经验,如果更新后出问题,基本都不是更新的问题,而是项目不规范。
服务器我都用的 debian ,工作站都用的 fedora
而且 debian 我从来都是用 testing 的。
所有服务都跑在集群上,节点更新肯定不影响的,不过大多数时候集群自动伸缩新创建的节点就会是新版本的了
security patches must be upgraded
- Linux 不等于 CentOS
- 出门一定要锁门
还能跑我都不动...设置个定时重启...
云服务有安全问题一般都会发邮件提醒有安全问题一般都会更新,更新前先备份一下,出问题了能回滚
本地自己玩的 linux 都会更新, 虚拟机里的也会先备份一下
像公司内网用的 linux, 从来没用更新过, 因为在内网, 有安全漏洞也没啥影响, 万一更新出了问题 还给自己增加工作量
每周定时更新,如果自己处理不了最好找个专业的运维
我维护的代码服务器是想起来就更新,大概 1 个月一次。
线上的不清楚具体频率,应该还也是每月左右更新一次。
linux 更新可不仅仅是一月一次,而是随时有安全更新就要安装……
有空就更新,只更新全部下线服务的机器。
没 CVE 就不动,不过反正服务也跑在 docker 里,外面怎么样了无所谓了
疯狂作死行为
不敢。
同感。。。
gist.github.com/ihciah/3fa05d09955355cba67f89c53698be2f 显示 Gist 代码
没开 unattened upgrade ,但搞了个 ansible 脚本一键升级所有我管理的机器。相比自动升级,万一升出严重问题立刻就能意识到并且修掉。
使用 apt 或 yum 更新到最新的不代表就修复漏洞了;系统本身的漏洞外人也没法搞你,通常容易出现问题的是 openssh,openssl,nginx,tomcat 这些;这些基础组件和应用,(默认情况下)你使用各大发行版命令更新通常也不会升级到最新版本,还是需要手动更新
安全补丁更新,其他略过,踩过好多次坑了
那些推荐更新的,不知道是不是没接触过生产环境。。不能瞎更新的,哪怕是安全补丁,也要根据情况来看怎么更,而不是无脑更新,更一个组件带崩整个系统的事不要太常见
有没有 security update 是看发行版的吧。
万一崩了你能背锅就行
大佬们 一般。不过好多软件可以删掉或者不启用,部分自带组件关闭互联网功能会影响正常使用。目前用的 GT Neo 6 Se 607 的系统。偶发返回手势失效,系统卡顿。偶发相机…
然而,大师写软件就不需要,随手写一下,就感觉无法超越。他们对于算法的深度领悟能力远超普通人。以前我一直不太愿意加太多细节,写一段新代码容易,维护一段老代码可就难多了。但是嘛,不…
我最近是邓紫棋/林俊杰/周杰伦比较多 不听,甚至戴上降噪耳机把降噪等级调到最强需要安静环境集中注意力 我有时听音乐电台,音乐比较平缓那种,免费;有时需要安静的环境,降噪耳机…