web-dev-qa-db-fra.com

Devrais-je mettre à jour les paquets du noyau sur les instances EC2?

Sur mon serveur EC2, quand je fais Sudo apt-get update && Sudo apt-get upgrade, je vois:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

Dois-je continuer et faire Sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual pour forcer la mise à jour de ces paquets?

18
Adam Monsen

La réponse courte est oui, vous devriez garder vos systèmes à jour en ce qui concerne les correctifs de sécurité.

La manière dont vous déployez les correctifs de sécurité dépend de votre tolérance au risque. Voici quelques options que j'ai utilisées pour répondre à cette question dans le passé:

  1. Appliquez les mises à niveau à un ensemble de systèmes d'assurance qualité imitant votre environnement de production et exécutez tous vos tests de régression pour vous assurer que les modifications apportées ne compromettent aucune fonctionnalité ni ne posent de problèmes de performances. Une fois que vous êtes satisfait, déployez les mises à niveau de vos systèmes de production.

  2. Attendez un jour et voyez s’il ya un tollé général concernant les problèmes causés par les mises à jour. Si tout semble paisible, mettez à niveau vos systèmes de production.

  3. Appliquez tous les correctifs de sécurité sur vos systèmes de production dès qu'ils sont disponibles.

J'ai utilisé une combinaison de ces trois approches en utilisant Ubuntu et je me suis progressivement orienté vers l'option 3 au fil des ans. Les correctifs de sécurité sont largement testés avant d'être publiés et un soin particulier est pris pour ne pas casser les fonctionnalités existantes. Je n'ai jamais eu de problème pour mettre à niveau les images prises en charge par Ubuntu (bien que j'aie déjà eu un problème il y a des années lorsque j'utilisais un noyau non Ubuntu avec Ubuntu sur EC2).

Notez que la mise à niveau du noyau nécessite également un redémarrage pour appliquer les modifications.

L’expérience et les recommandations ci-dessus s’appliquent uniquement à la mise à niveau d’une version d’une version Ubuntu (par exemple, 11.04). La mise à niveau vers une nouvelle nouvelle version d'Ubuntu est une tâche beaucoup plus vaste et plus risquée. Elle nécessite des tests avant de la diffuser sur vos systèmes de production.

Voici un article sur ce sujet qui vient d'être publié par RightScale sur la gestion des mises à niveau de sécurité dans leur environnement:

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/

18
Eric Hammond