这是一个创建于 1269 天前的主题,其中的信息可能已经有所发展或是发生改变。
你们在管理服务器上的系统时是不是也会定期执行 apt upgrade 或者 yum update 之类的命令保证服务器系统上的软件源和包都是最新的 避免系统和软件的漏洞影响服务器安全
 | 1 Chism 2022-04-20 21:23:58 +08:00 2019 年 1 折买的三年阿里云服务器,到现在都还没更新过 |
 | 2 kingjpa 2022-04-20 21:38:33 +08:00 系统级的更新还是不要,有过极其惨痛教训,centos yum update 后无法启动,原因不明,总之就是无法启动了,ssh vnc 都没法用, 还好数据库和代码都有每日备份 |
 | 3 oed 2022-04-20 21:45:28 +08:00 做完备份再更新 |
 | 4 noqwerty 2022-04-20 21:45:49 +08:00 只打安全更新可以看看 unattended-upgrades |
 | 5 dlsflh 2022-04-20 21:46:20 +08:00 via Android Linux 有 security update 这种东西吗? |
 | 6 lcy630409 2022-04-20 21:48:54 +08:00 服务器正常运行就可以了,摸都不要去摸一下,, |
 | 7 tengyufei 2022-04-20 21:49:10 +08:00 via Android 快照完更新比较好吧 |
 | 8 lovepplforever 2022-04-20 22:21:24 +08:00 via iPhone 别随便更新 |
 | 9 wangkun025 2022-04-20 22:23:26 +08:00 我是更新的。前提是我自己管理着。几年没出过问题。 |
 | 10 villivateur 2022-04-20 22:24:48 +08:00 via Android 我 Ubuntu 每个星期更新一次,特别是安全性更新,我怕漏洞 |
 | 11 cszchen 2022-04-20 22:29:44 +08:00 via iPhone 不敢随便更新 |
 | 12 Illusionary 2022-04-20 22:31:52 +08:00 我可能会在下次买服务器的时候选新版系统镜像,但绝对不会在已有的系统上升级系统,最多更新内核 |
 | 13 westoy 2022-04-20 22:38:38 +08:00 deb 系可以设置 unattended-upgrades 的, 没事上去看看需不需要重启就行了 还可以订阅一下 debian-security-announce 的邮件列表 |
 | 14 adoal 2022-04-20 22:59:50 +08:00 via iPhone 开自带更新但只启用 security channel |
| 15 adoal 2022-04-20 23:00:11 +08:00 via iPhone 自带自动 |
 | 16 Showfom PRO 需要更新,尤其是安全更新,最好是自己订阅邮件列表,有了就去更新 |
| 17 adoal 2022-04-20 23:14:10 +08:00  1 为啥我要自动更新呢?很多年前遇到一起案例,隔壁专项组的一台服务器,好像是 CentOS 3 还是 4 来着,被重度入侵了。检查了一下,两件蠢事凑在了一起,一是 sshd 没禁用 PasswordAuthentication 二是从来没更新,正好 sshd 本身有个安全漏洞,导致用口令认证登录时可以精心构造数据直接认证成功……这两项只要有一项处理了就不会被裸破进去。虽然隔壁专项组的系统不归我管,但毕竟是同一个单位里的。这事对我的心态影响很大。再后来经我手的 Linux 服务器如无特殊理由一概开启自动更新(怕出兼容性问题的至少对 security channel 更新开启,如果实在怕,在 RH 系上至少对 critical 等级的 security channel 更新开启),一概在配好公钥认证后关闭口令认证。虽然有点 PTSD ,但总比莫名其妙被入侵了好。 |
| 18 adoal 2022-04-20 23:16:53 +08:00 如果团队结构完善,人员精力够,应该像有几楼说的那样,订阅邮件列表,有了安全更新,review 一下,有必要的再更,以免破坏某些“依赖”特定 bug 的业务系统代码。 但是很多传统单位的综合信息化人员是没精力这样做的。 |
 | 19 documentzhangx66 2022-04-20 23:59:25 +08:00 1.肯定需要。 2.Linux 系统与环境的安全与升级,由运维去做。 3.Linux 系统中运行的用户代码的安全与升级,由代码的开发公司去做。 4.更简单的方法是,对服务器区域的入口,购买第七层(应用层)防火墙,比如入侵检测、WAF 这种,能分析 http 与 https 的具体流量内容。 而不是第 3 层像 iptables 或 firewall 那种。 然后做好配置与自动升级,关键是出事后可以由防火墙厂家担责。并且这些厂家也有专门团队去跟着 0day 并及时下发最新的补丁包。 5.做好等保,出事了有等保担一部分责。 |
 | 20 biubiuF 2022-04-21 00:05:09 +08:00 不更新,更新要开变更会议,流程很麻烦 |
 | 21 zachary99 2022-04-21 00:18:18 +08:00 via iPad 没问题绝对不更新 |
 | 22 yanqiyu 2022-04-21 00:21:01 +08:00 一般懒得维护的服务器会用 CoreOS+检测服务状态回滚版本 (自己的玩具 VPS 而不是涉及身家的生产环境) 要是生产环境应该可以上集群灰度更新+状态检测?实现跟随发行版更新的同时不一下炸掉生产环境? |
 | 23 echo1937 2022-04-21 00:22:25 +08:00 via iPhone 只开安全更新 |
 | 24 pengtdyd 2022-04-21 00:45:06 +08:00 更新?????? 干这行不是有句真理吗:又不是不能跑,你干嘛动它? |
 | 25 461da73c 2022-04-21 01:25:34 +08:00 via Android 开发机直接弄了个计划任务每天自动更新,爽。 |
 | 26 zengxs 2022-04-21 01:47:23 +08:00 ubuntu-server 会自动打安全补丁 |
 | 27 istevenshen 2022-04-21 08:42:32 +08:00 2014 年的集群服务器,CentOS 6.5 用到现在,不敢更新~ |
 | 28 mingl0280 2022-04-21 09:14:06 +08:00 via Android 1 必须更,月度强制更新(安全补丁),IT 定的,哪怕服务挂了也要更…… 你想想要是你家根证书发行商被黑了,那乐子就大了啊哈哈哈哈 |
 | 29 ericguo 2022-04-21 09:28:23 +08:00 你可以反着想想,如果没必要更新,为啥厂商要出这个补丁呢? 手头就有一台 CentOS 8 的 Gold version ,只要重启就掉盘,我接手的时候我 TMD 都惊呆了,这得多懒才不更新一下补掉这么显而易见的 bug ?结果现在倒好 CentOS 8 的更新都停了,现在这机器不能重启,重启后就得用另外的 CentOS 系统恢复盘恢复磁盘才能重启成功。 对于这样的机器,你问我要不要更新,我肯定是回答不更新的,只要不是我维护,怎么样都行。 |
 | 30 photon006 2022-04-21 09:35:09 +08:00 每天执行一次,全年只有圣诞节那几天没有更新,平常工作日几乎都有。 |
| 32 ericguo 2022-04-21 10:42:49 +08:00 @litguy 这种问题确实没法解,不是不能解,是我犯不着花那么多精力去搞一个没有效益没有影响的问题。 更新固然有风险,但是这些风险是这世界上的所有更新的人都会遇到的,大家都会承受的风险摊到个人头上又有多少呢?更何况真的常用系统更新挂了都能上新闻好吗?但是你不更新,时间长了,那就是单单独独的自己的问题,你就是开 support ticket ,人家第一句都是不好意思,我们只支持最新版本。 |
 | 33 wonderfulcxm 2022-04-21 10:46:49 +08:00 via iPhone 看到这个帖子,立马去执行了一次更新 |
 | 34 fengjianxinghun 2022-04-21 10:49:47 +08:00 要是买 redhat 服务了,随便更新。。 要是没买。。我是不敢更新 |
 | 35 liuzhaowei55 2022-04-21 10:54:35 +08:00 via iPhone 不更新,一般是新建服务器迁移服务 |
 | 36 liuxu 2022-04-21 11:26:16 +08:00 1 建议不更新的人用下 freebsd ,freebsd12.3-release 出来后,freebsd12.2-release 给 3 个月升级时间 |
 | 37 bthulu 2022-04-21 11:48:09 +08:00 一直自动更新省心 |
 | 38 kokutou 2022-04-21 12:26:42 +08:00 via Android 1 不更新等着被挂马吗。。 |
 | 39 LxnChan 2022-04-21 13:44:08 +08:00 我家里的服务器在 ubuntu 更新内核后重启会死机,即便是不重启在更新结束 24 小时后出现各种问题,然后重启就也没什么反应了(看 ttl 内容应该是已经完成 ubuntu 引导了),好在是有备份,恢复就行了。 至于安全问题,设置好防火墙的前提下不会有什么问题的 |
 | 40 CSGO 2022-04-21 13:45:39 +08:00 小白求问宝塔需要手动更新吗 |
 | 41 t2jk4000 2022-04-21 13:47:20 +08:00 需要 |
 | 42 Symo 2022-04-21 13:50:07 +08:00 1 更新应该是有策略的, 肯定不能拿一台单点服务器莽啊. 比如出了心脏滴血漏洞难道也不升级吗. |
 | 43 wangyzj 2022-04-21 13:51:53 +08:00 2011 年的阿里云 centos6 一直用到现在 然后换了腾讯云,阿里云不用了 |
 | 44 dreamage 2022-04-21 17:04:37 +08:00 自己的服务器每天更新 公司的服务器基本不更新 |
 | 45 RivetCity 2022-04-21 17:09:32 +08:00 还是要更新的,关键看你们运维(或者外部支持)的技术实力。 按道理要定期评估补丁,然后决定上不上。 |
 | 46 libook 2022-04-21 17:11:52 +08:00 周期性打安全补丁。 软件更新取决于是否有必要,因为版本越旧,就越经过时间检验,就越能掌握全面的情况。 理想情况下,做任何变动都要对软件包进行审计,以确保变动后符合预期,避免引入问题;但大多单位应该都没有这种条件。 |
 | 47 superchijinpeng 2022-04-21 17:13:11 +08:00 kde neon 日更 |
 | 48 alzee 2022-04-21 17:23:07 +08:00 这是我“Linux 一键装机脚本”里的一个函数,每台必跑 ``` setup_auto_upgrade(){ local file o m d r if [ "$distro" = debian ]; then sudo $pkg install -y unattended-upgrades # In case not installed yet. file=/etc/apt/apt.conf.d/50unattended-upgrades # ${distro_codename}-updates & ${distro_codename}-proposed-updates o='origin=Debian,codename=${distro_codename}.*-updates' m='Unattended-Upgrade::Mail ' d='Unattended-Upgrade::Remove-Unused-Dependencies' # Automatic-Reboot & Automatic-Reboot-WithUsers r='Unattended-Upgrade::Automatic-Reboot.*"\(false\|true\)"' # Set mail to sudo sed -i "/$m/s:\"\":\"$user\":" $file # Set Remove-Unused-Dependencies, Automatic-Reboot and Automatic-Reboot-WithUsers to true sudo sed -i "/$d\|$r/s:false:true:" $file # Uncomment these lines sudo sed -i "/$o\|$m\|$d\|$r/s://::" $file # Generate /etc/apt/apt.conf.d/20auto-upgrades sudo dpkg-reconfigure -plow unattended-upgrades fi if [ "$distro" = fedora ]; then sudo $pkg install -y dnf-automatic # In case not installed yet. local file=/etc/dnf/automatic.conf sudo sed -i '/apply_updates/s/no/yes/' $file sudo systemctl enable --now dnf-automatic.timer postfix fi } ``` |
| 49 alzee 2022-04-21 17:41:03 +08:00 1 这个脚步作用就是开启自动更新,时间就是用系统默认的,debian 6:00AM ,fedora 3:00PM 。每天更新,debian 的自动重启看情况。 没出过问题。而且以我的经验,如果更新后出问题,基本都不是更新的问题,而是项目不规范。 服务器我都用的 debian ,工作站都用的 fedora 而且 debian 我从来都是用 testing 的。 |
 | 50 KagurazakaNyaa 2022-04-21 17:50:46 +08:00 所有服务都跑在集群上,节点更新肯定不影响的,不过大多数时候集群自动伸缩新创建的节点就会是新版本的了 |
 | 51 findex 2022-04-21 17:52:41 +08:00 1 security patches must be upgraded |
 | 52 stanjia 2022-04-21 17:54:57 +08:00 2 * Linux 不等于 CentOS * 出门一定要锁门 |
 | 53 wu67 2022-04-21 17:55:09 +08:00 还能跑我都不动...设置个定时重启... |
 | 54 bruce0 2022-04-21 18:14:40 +08:00 云服务有安全问题一般都会发邮件提醒有安全问题一般都会更新,更新前先备份一下,出问题了能回滚 本地自己玩的 linux 都会更新, 虚拟机里的也会先备份一下 像公司内网用的 linux, 从来没用更新过, 因为在内网, 有安全漏洞也没啥影响, 万一更新出了问题 还给自己增加工作量 |
 | 55 ragnaroks 2022-04-21 19:49:04 +08:00 每周定时更新,如果自己处理不了最好找个专业的运维 |
 | 56 gamexg 2022-04-21 20:03:17 +08:00 我维护的代码服务器是想起来就更新,大概 1 个月一次。 线上的不清楚具体频率,应该还也是每月左右更新一次。 |
 | 57 Dragonish3600 2022-04-21 20:17:10 +08:00 via iPhone linux 更新可不仅仅是一月一次,而是随时有安全更新就要安装…… |
 | 58 kwanzaa 有空就更新,只更新全部下线服务的机器。 |
 | 59 learningman 2022-04-21 20:35:58 +08:00 没 CVE 就不动,不过反正服务也跑在 docker 里,外面怎么样了无所谓了 |
 | 60 alsas 2022-04-21 21:02:21 +08:00 疯狂作死行为 |
 | 61 ttgo 2022-04-21 21:06:54 +08:00 不敢。 |
 | 62 kongkongyzt 2022-04-21 23:25:36 +08:00 @lcy630409 同感。。。 |
 | 63 ihciah 2022-04-22 01:27:16 +08:00 via iPhone https://gist.github.com/ihciah/3fa05d09955355cba67f89c53698be2f 没开 unattened upgrade ,但搞了个 ansible 脚本一键升级所有我管理的机器。相比自动升级,万一升出严重问题立刻就能意识到并且修掉。 |
 | 64 tiga99 2022-04-22 09:36:35 +08:00 使用 apt 或 yum 更新到最新的不代表就修复漏洞了;系统本身的漏洞外人也没法搞你,通常容易出现问题的是 openssh,openssl,nginx,tomcat 这些;这些基础组件和应用,(默认情况下)你使用各大发行版命令更新通常也不会升级到最新版本,还是需要手动更新 |
 | 65 AilF 2022-04-22 09:45:16 +08:00 安全补丁更新,其他略过,踩过好多次坑了 |
 | 66 maxbon 2022-04-22 10:26:30 +08:00 那些推荐更新的,不知道是不是没接触过生产环境。。不能瞎更新的,哪怕是安全补丁,也要根据情况来看怎么更,而不是无脑更新,更一个组件带崩整个系统的事不要太常见 |
 | 68 yinzhili 2022-04-22 12:41:37 +08:00 万一崩了你能背锅就行 |
Select Language