Чтобы немного освоить администрирование сервера, я установил простой сервер Ubuntu 14.04, на котором я запускаю личный веб-сайт. Я установил автоматическую установку обновлений безопасности, но не включаю другие обновления. Кажется, это работает довольно хорошо. Иногда я получаю сообщение при входе на сервер (с помощью ssh):
*** System restart required ***
Когда это происходило, я просто перезагружал Ubuntu, и все было хорошо. Это нормально, потому что это простой персональный сайт. Что меня интересует, так это то, как это работает для веб-серверов, которые должны работать до 99,9999% времени? Разве они просто не перезагружаются и не рискуют нарушить безопасность, потому что обновления безопасности не установлены (что я не могу себе представить)? Или они принимают время простоя как должное (что я не могу себе представить)?
Как мне справиться с этим, если бы это был очень важный рабочий сервер, который я хочу поддерживать в рабочем состоянии? Все советы приветствуются!
[ПРАВКА] Я знаю, что могу сделать, cat /var/run/reboot-required.pkgs
чтобы перечислить пакеты, которые вызывают перезагрузку. В настоящее время команда выдает следующее:
linux-image-3.13.0-36-generic
linux-base
dbus
linux-image-extra-3.13.0-36-generic
linux-base
но как я узнаю, являются ли обновления мелочами того, имею ли я серьезную уязвимость безопасности, если я не делаю перезагрузку?
[EDIT2] Хорошо, теперь я объединил команды, которые я нашел полезными, в одну:
xargs aptitude changelog < /var/run/reboot-required.pkgs | grep urgency=high
Если это ничего не выдает, кажется, нет проблем безопасности с высокой срочностью.
Один последний вопрос , хотя: есть low
, medium
и high
только возможности срочности, или там больше , как, например , critical
или extremelyimportant
?
| grep 'urgency=' | egrep -v '=(low|medium)'
Ответы:
Это не простой ответ, так как это зависит от сделанных обновлений. Если в ядре возникла серьезная проблема с безопасностью, рекомендуется перезагрузить компьютер как можно скорее. Если бы в ядре были только незначительные исправления, то перезагрузка могла быть отложена.
Если вы гарантируете доступность> 99,9%, то у вас почти всегда будет кластерная система, в которой вы сможете перезагрузить узлы один за другим, не прерывая работу службы.
Таким образом, вы перезагружаете первую систему и подключаете ее к кластеру. Потом второй и тд. Тогда услуга никогда не станет недоступной.
источник
cat /var/run/reboot-required.pkgs
чтобы получить пакеты, которые требуют перезагрузки. Но как мне узнать, являются ли это лишь незначительными исправлениями или это серьезная уязвимость безопасности?aptitude changelog <package>
, вот пример выходных данных: paste.ubuntu.com/8410798 (Это на системе Debian, а не на Ubuntu, но то же самое будет работать и на Ubuntu.)xargs aptitude changelog < /var/run/reboot-required.pkgs | grep urgency=high
(также добавила ее в начальный вопрос), которая дает некоторый вывод о том, какие пакеты имеют очень срочные исправления. После этого, конечно, можно проверить отдельные упаковки. Спасибо миллион за все ответы и идеи!аддон для решения темы
Я выполняю аналогичную проверку для «требования перезагрузки» для системы мониторинга zabbix
Я вижу 2 вопроса в решении "Тема":
Моя логика такова:
Используя документацию Debian, я нашел 5 возможных значений «срочности», а также тот факт, что за ним могут следовать одинаковые («=») или точки с запятой («:»). Также могут быть прописные и строчные буквы
В итоге я получил следующее:
В следствии:
reboot_required_check.sh status
возвращает 1, если требуется перезагрузка, 0, если нетreboot_required_check.sh urgency
возвращает наивысший уровень срочности или «0», если перезагрузка не требуетсяНадеюсь, это поможет кому-то сэкономить время;)
источник
Большие веб-серверы перезапускаются, когда * из соображений безопасности появляется сообщение о необходимости перезагрузки системы * .
Но это прозрачно для пользователя, и сайт никогда не отключается, потому что большие серверы часто используют два или три сервера, которые хранят одинаковые файлы и отображают один и тот же сайт. Первый из них является основным сервером, а два других являются вторичными и используются только когда основной сервер не работает.
источник
Big web servers
запустите пользовательские версии Linux. Они не увидятSystem restart required
диалог, они обновят то, что им нужно, чтобы оставаться в безопасности. В большинстве случаев многие, если не все обновления могут быть выполнены во время работы системы (я думаю, что даже возможно обновить ядро Linux на работающей системе без перезагрузки).Big web servers
работают на выделенных серверах и VPS. Из-за этого системный администратор имеет больше контроля над программным обеспечением. Предоставляет ли Amazon доступ к вашему серверу с правами root-оболочки?freezes execution of a computer so it is the only program running
при применении патча, поэтому возможны небольшие простои (из-за «зависания» процесса веб-сервера). Вот где приходит ответ @Uwe Plonus.