V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ljiaming19
V2EX  ›  程序员

Linux 服务器需要每个月更新系统吗

  •  
  •   ljiaming19 · 69 天前 · 5585 次点击
    这是一个创建于 69 天前的主题,其中的信息可能已经有所发展或是发生改变。
    你们在管理服务器上的系统时是不是也会定期执行 apt upgrade 或者 yum update 之类的命令保证服务器系统上的软件源和包都是最新的 避免系统和软件的漏洞影响服务器安全
    68 条回复    2022-04-22 12:41:37 +08:00
    Chism
        1
    Chism  
       69 天前
    2019 年 1 折买的三年阿里云服务器,到现在都还没更新过
    kingjpa
        2
    kingjpa  
       69 天前
    系统级的更新还是不要,有过极其惨痛教训,centos yum update 后无法启动,原因不明,总之就是无法启动了,ssh vnc 都没法用, 还好数据库和代码都有每日备份
    oed
        3
    oed  
       69 天前
    做完备份再更新
    noqwerty
        4
    noqwerty  
       69 天前
    只打安全更新可以看看 unattended-upgrades
    dlsflh
        5
    dlsflh  
       69 天前 via Android
    Linux 有 security update 这种东西吗?
    lcy630409
        6
    lcy630409  
       69 天前
    服务器正常运行就可以了,摸都不要去摸一下,,
    tengyufei
        7
    tengyufei  
       69 天前 via Android
    快照完更新比较好吧
    lovepplforever
        8
    lovepplforever  
       69 天前 via iPhone
    别随便更新
    wangkun025
        9
    wangkun025  
       69 天前
    我是更新的。前提是我自己管理着。几年没出过问题。
    villivateur
        10
    villivateur  
       69 天前 via Android
    我 Ubuntu 每个星期更新一次,特别是安全性更新,我怕漏洞
    cszchen
        11
    cszchen  
       69 天前 via iPhone
    不敢随便更新
    Illusionary
        12
    Illusionary  
       69 天前
    我可能会在下次买服务器的时候选新版系统镜像,但绝对不会在已有的系统上升级系统,最多更新内核
    westoy
        13
    westoy  
       69 天前
    deb 系可以设置 unattended-upgrades 的, 没事上去看看需不需要重启就行了

    还可以订阅一下 debian-security-announce 的邮件列表
    adoal
        14
    adoal  
       69 天前 via iPhone
    开自带更新但只启用 security channel
    adoal
        15
    adoal  
       69 天前 via iPhone
    自带➡️自动
    Showfom
        16
    Showfom  
       69 天前
    需要更新,尤其是安全更新,最好是自己订阅邮件列表,有了就去更新
    adoal
        17
    adoal  
       69 天前   ❤️ 1
    为啥我要自动更新呢?很多年前遇到一起案例,隔壁专项组的一台服务器,好像是 CentOS 3 还是 4 来着,被重度入侵了。检查了一下,两件蠢事凑在了一起,一是 sshd 没禁用 PasswordAuthentication 二是从来没更新,正好 sshd 本身有个安全漏洞,导致用口令认证登录时可以精心构造数据直接认证成功……这两项只要有一项处理了就不会被裸破进去。虽然隔壁专项组的系统不归我管,但毕竟是同一个单位里的。这事对我的心态影响很大。再后来经我手的 Linux 服务器如无特殊理由一概开启自动更新(怕出兼容性问题的至少对 security channel 更新开启,如果实在怕,在 RH 系上至少对 critical 等级的 security channel 更新开启),一概在配好公钥认证后关闭口令认证。虽然有点 PTSD ,但总比莫名其妙被入侵了好。
    adoal
        18
    adoal  
       69 天前
    如果团队结构完善,人员精力够,应该像有几楼说的那样,订阅邮件列表,有了安全更新,review 一下,有必要的再更,以免破坏某些“依赖”特定 bug 的业务系统代码。

    但是很多传统单位的综合信息化人员是没精力这样做的。
    documentzhangx66
        19
    documentzhangx66  
       69 天前
    1.肯定需要。

    2.Linux 系统与环境的安全与升级,由运维去做。

    3.Linux 系统中运行的用户代码的安全与升级,由代码的开发公司去做。

    4.更简单的方法是,对服务器区域的入口,购买第七层(应用层)防火墙,比如入侵检测、WAF 这种,能分析 http 与 https 的具体流量内容。

    而不是第 3 层像 iptables 或 firewall 那种。

    然后做好配置与自动升级,关键是出事后可以由防火墙厂家担责。并且这些厂家也有专门团队去跟着 0day 并及时下发最新的补丁包。

    5.做好等保,出事了有等保担一部分责。
    biubiuF
        20
    biubiuF  
       69 天前
    不更新,更新要开变更会议,流程很麻烦
    zachary99
        21
    zachary99  
       69 天前 via iPad
    没问题绝对不更新
    yanqiyu
        22
    yanqiyu  
       69 天前
    一般懒得维护的服务器会用 CoreOS+检测服务状态回滚版本 (自己的玩具 VPS 而不是涉及身家的生产环境)
    要是生产环境应该可以上集群灰度更新+状态检测?实现跟随发行版更新的同时不一下炸掉生产环境?
    echo1937
        23
    echo1937  
       69 天前 via iPhone
    只开安全更新
    pengtdyd
        24
    pengtdyd  
       69 天前
    更新??????
    干这行不是有句真理吗:又不是不能跑,你干嘛动它?
    461da73c
        25
    461da73c  
       69 天前 via Android
    开发机直接弄了个计划任务每天自动更新,爽。
    zengxs
        26
    zengxs  
       69 天前
    ubuntu-server 会自动打安全补丁
    istevenshen
        27
    istevenshen  
       69 天前
    2014 年的集群服务器,CentOS 6.5 用到现在,不敢更新~
    mingl0280
        28
    mingl0280  
       69 天前 via Android   ❤️ 1
    必须更,月度强制更新(安全补丁),IT 定的,哪怕服务挂了也要更……
    你想想要是你家根证书发行商被黑了,那乐子就大了啊哈哈哈哈
    ericguo
        29
    ericguo  
       69 天前
    你可以反着想想,如果没必要更新,为啥厂商要出这个补丁呢?

    手头就有一台 CentOS 8 的 Gold version ,只要重启就掉盘,我接手的时候我 TMD 都惊呆了,这得多懒才不更新一下补掉这么显而易见的 bug ?结果现在倒好 CentOS 8 的更新都停了,现在这机器不能重启,重启后就得用另外的 CentOS 系统恢复盘恢复磁盘才能重启成功。

    对于这样的机器,你问我要不要更新,我肯定是回答不更新的,只要不是我维护,怎么样都行。
    photon006
        30
    photon006  
       69 天前
    每天执行一次,全年只有圣诞节那几天没有更新,平常工作日几乎都有。
    litguy
        31
    litguy  
       69 天前
    @ericguo 没遇到这个 bug ,怀疑是引导扇区问题
    ericguo
        32
    ericguo  
       69 天前
    @litguy 这种问题确实没法解,不是不能解,是我犯不着花那么多精力去搞一个没有效益没有影响的问题。


    更新固然有风险,但是这些风险是这世界上的所有更新的人都会遇到的,大家都会承受的风险摊到个人头上又有多少呢?更何况真的常用系统更新挂了都能上新闻好吗?但是你不更新,时间长了,那就是单单独独的自己的问题,你就是开 support ticket ,人家第一句都是不好意思,我们只支持最新版本。
    wonderfulcxm
        33
    wonderfulcxm  
       69 天前 via iPhone
    看到这个帖子,立马去执行了一次更新
    fengjianxinghun
        34
    fengjianxinghun  
       69 天前
    要是买 redhat 服务了,随便更新。。
    要是没买。。我是不敢更新
    liuzhaowei55
        35
    liuzhaowei55  
       69 天前 via iPhone
    不更新,一般是新建服务器迁移服务
    liuxu
        36
    liuxu  
       68 天前   ❤️ 1
    建议不更新的人用下 freebsd ,freebsd12.3-release 出来后,freebsd12.2-release 给 3 个月升级时间
    bthulu
        37
    bthulu  
       68 天前
    一直自动更新省心
    kokutou
        38
    kokutou  
       68 天前 via Android   ❤️ 1
    不更新等着被挂马吗。。
    LxnChan
        39
    LxnChan  
       68 天前
    我家里的服务器在 ubuntu 更新内核后重启会死机,即便是不重启在更新结束 24 小时后出现各种问题,然后重启就也没什么反应了(看 ttl 内容应该是已经完成 ubuntu 引导了),好在是有备份,恢复就行了。

    至于安全问题,设置好防火墙的前提下不会有什么问题的
    CSGO
        40
    CSGO  
       68 天前
    小白求问宝塔需要手动更新吗
    t2jk4000
        41
    t2jk4000  
       68 天前
    需要
    Symo
        42
    Symo  
       68 天前   ❤️ 1
    更新应该是有策略的, 肯定不能拿一台单点服务器莽啊.
    比如出了心脏滴血漏洞难道也不升级吗.
    wangyzj
        43
    wangyzj  
       68 天前
    2011 年的阿里云 centos6 一直用到现在
    然后换了腾讯云,阿里云不用了
    dreamage
        44
    dreamage  
       68 天前
    自己的服务器每天更新
    公司的服务器基本不更新
    RivetCity
        45
    RivetCity  
       68 天前
    还是要更新的,关键看你们运维(或者外部支持)的技术实力。
    按道理要定期评估补丁,然后决定上不上。
    libook
        46
    libook  
       68 天前
    周期性打安全补丁。

    软件更新取决于是否有必要,因为版本越旧,就越经过时间检验,就越能掌握全面的情况。

    理想情况下,做任何变动都要对软件包进行审计,以确保变动后符合预期,避免引入问题;但大多单位应该都没有这种条件。
    superchijinpeng
        47
    superchijinpeng  
       68 天前
    kde neon 日更
    alzee
        48
    alzee  
       68 天前
    这是我“Linux 一键装机脚本”里的一个函数,每台必跑
    ```
    setup_auto_upgrade(){
    local file o m d r
    if [ "$distro" = debian ]; then
    sudo $pkg install -y unattended-upgrades # In case not installed yet.
    file=/etc/apt/apt.conf.d/50unattended-upgrades
    # ${distro_codename}-updates & ${distro_codename}-proposed-updates
    o='origin=Debian,codename=${distro_codename}.*-updates'
    m='Unattended-Upgrade::Mail '
    d='Unattended-Upgrade::Remove-Unused-Dependencies'
    # Automatic-Reboot & Automatic-Reboot-WithUsers
    r='Unattended-Upgrade::Automatic-Reboot.*"\(false\|true\)"'

    # Set mail to
    sudo sed -i "/$m/s:\"\":\"$user\":" $file
    # Set Remove-Unused-Dependencies, Automatic-Reboot and Automatic-Reboot-WithUsers to true
    sudo sed -i "/$d\|$r/s:false:true:" $file
    # Uncomment these lines
    sudo sed -i "/$o\|$m\|$d\|$r/s://::" $file

    # Generate /etc/apt/apt.conf.d/20auto-upgrades
    sudo dpkg-reconfigure -plow unattended-upgrades
    fi

    if [ "$distro" = fedora ]; then
    sudo $pkg install -y dnf-automatic # In case not installed yet.
    local file=/etc/dnf/automatic.conf
    sudo sed -i '/apply_updates/s/no/yes/' $file
    sudo systemctl enable --now dnf-automatic.timer postfix
    fi
    }
    ```
    alzee
        49
    alzee  
       68 天前   ❤️ 1
    这个脚步作用就是开启自动更新,时间就是用系统默认的,debian 6:00AM ,fedora 3:00PM 。每天更新,debian 的自动重启看情况。
    没出过问题。而且以我的经验,如果更新后出问题,基本都不是更新的问题,而是项目不规范。
    服务器我都用的 debian ,工作站都用的 fedora
    而且 debian 我从来都是用 testing 的。
    XiLingHost
        50
    XiLingHost  
       68 天前
    所有服务都跑在集群上,节点更新肯定不影响的,不过大多数时候集群自动伸缩新创建的节点就会是新版本的了
    findex
        51
    findex  
       68 天前   ❤️ 1
    security patches must be upgraded
    stanjia
        52
    stanjia  
       68 天前   ❤️ 2
    * Linux 不等于 CentOS
    * 出门一定要锁门
    wu67
        53
    wu67  
       68 天前
    还能跑我都不动...设置个定时重启...
    bruce0
        54
    bruce0  
       68 天前
    云服务有安全问题一般都会发邮件提醒有安全问题一般都会更新,更新前先备份一下,出问题了能回滚

    本地自己玩的 linux 都会更新, 虚拟机里的也会先备份一下

    像公司内网用的 linux, 从来没用更新过, 因为在内网, 有安全漏洞也没啥影响, 万一更新出了问题 还给自己增加工作量
    ragnaroks
        55
    ragnaroks  
       68 天前
    每周定时更新,如果自己处理不了最好找个专业的运维
    gamexg
        56
    gamexg  
       68 天前
    我维护的代码服务器是想起来就更新,大概 1 个月一次。
    线上的不清楚具体频率,应该还也是每月左右更新一次。
    ladypxy
        57
    ladypxy  
       68 天前 via iPhone
    linux 更新可不仅仅是一月一次,而是随时有安全更新就要安装……
    kwanzaa
        58
    kwanzaa  
       68 天前
    有空就更新,只更新全部下线服务的机器。
    learningman
        59
    learningman  
       68 天前
    没 CVE 就不动,不过反正服务也跑在 docker 里,外面怎么样了无所谓了
    alsas
        60
    alsas  
       68 天前
    疯狂作死行为
    ttgo
        61
    ttgo  
       68 天前
    不敢。
    kongkongyzt
        62
    kongkongyzt  
       68 天前
    @lcy630409 同感。。。
    ihciah
        63
    ihciah  
       68 天前 via iPhone

    没开 unattened upgrade ,但搞了个 ansible 脚本一键升级所有我管理的机器。相比自动升级,万一升出严重问题立刻就能意识到并且修掉。
    tiga99
        64
    tiga99  
       68 天前
    使用 apt 或 yum 更新到最新的不代表就修复漏洞了;系统本身的漏洞外人也没法搞你,通常容易出现问题的是 openssh,openssl,nginx,tomcat 这些;这些基础组件和应用,(默认情况下)你使用各大发行版命令更新通常也不会升级到最新版本,还是需要手动更新
    AilF
        65
    AilF  
       68 天前
    安全补丁更新,其他略过,踩过好多次坑了
    maxbon
        66
    maxbon  
       68 天前
    那些推荐更新的,不知道是不是没接触过生产环境。。不能瞎更新的,哪怕是安全补丁,也要根据情况来看怎么更,而不是无脑更新,更一个组件带崩整个系统的事不要太常见
    Cu635
        67
    Cu635  
       68 天前
    @dlsflh
    有没有 security update 是看发行版的吧。
    yinzhili
        68
    yinzhili  
       67 天前
    万一崩了你能背锅就行
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4259 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 03:06 · PVG 11:06 · LAX 20:06 · JFK 23:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.