V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ljiaming19
V2EX  ›  程序员

Linux 服务器需要每个月更新系统吗

  •  
  •   ljiaming19 · 2022-04-20 21:17:10 +08:00 · 7398 次点击
    这是一个创建于 708 天前的主题,其中的信息可能已经有所发展或是发生改变。
    你们在管理服务器上的系统时是不是也会定期执行 apt upgrade 或者 yum update 之类的命令保证服务器系统上的软件源和包都是最新的 避免系统和软件的漏洞影响服务器安全
    68 条回复    2022-04-22 12:41:37 +08:00
    Chism
        1
    Chism  
       2022-04-20 21:23:58 +08:00
    2019 年 1 折买的三年阿里云服务器,到现在都还没更新过
    kingjpa
        2
    kingjpa  
       2022-04-20 21:38:33 +08:00
    系统级的更新还是不要,有过极其惨痛教训,centos yum update 后无法启动,原因不明,总之就是无法启动了,ssh vnc 都没法用, 还好数据库和代码都有每日备份
    oed
        3
    oed  
       2022-04-20 21:45:28 +08:00
    做完备份再更新
    noqwerty
        4
    noqwerty  
       2022-04-20 21:45:49 +08:00
    只打安全更新可以看看 unattended-upgrades
    dlsflh
        5
    dlsflh  
       2022-04-20 21:46:20 +08:00 via Android
    Linux 有 security update 这种东西吗?
    lcy630409
        6
    lcy630409  
       2022-04-20 21:48:54 +08:00
    服务器正常运行就可以了,摸都不要去摸一下,,
    tengyufei
        7
    tengyufei  
       2022-04-20 21:49:10 +08:00 via Android
    快照完更新比较好吧
    lovepplforever
        8
    lovepplforever  
       2022-04-20 22:21:24 +08:00 via iPhone
    别随便更新
    wangkun025
        9
    wangkun025  
       2022-04-20 22:23:26 +08:00
    我是更新的。前提是我自己管理着。几年没出过问题。
    villivateur
        10
    villivateur  
       2022-04-20 22:24:48 +08:00 via Android
    我 Ubuntu 每个星期更新一次,特别是安全性更新,我怕漏洞
    cszchen
        11
    cszchen  
       2022-04-20 22:29:44 +08:00 via iPhone
    不敢随便更新
    Illusionary
        12
    Illusionary  
       2022-04-20 22:31:52 +08:00
    我可能会在下次买服务器的时候选新版系统镜像,但绝对不会在已有的系统上升级系统,最多更新内核
    westoy
        13
    westoy  
       2022-04-20 22:38:38 +08:00
    deb 系可以设置 unattended-upgrades 的, 没事上去看看需不需要重启就行了

    还可以订阅一下 debian-security-announce 的邮件列表
    adoal
        14
    adoal  
       2022-04-20 22:59:50 +08:00 via iPhone
    开自带更新但只启用 security channel
    adoal
        15
    adoal  
       2022-04-20 23:00:11 +08:00 via iPhone
    自带➡️自动
    Showfom
        16
    Showfom  
       2022-04-20 23:04:43 +08:00
    需要更新,尤其是安全更新,最好是自己订阅邮件列表,有了就去更新
    adoal
        17
    adoal  
       2022-04-20 23:14:10 +08:00   ❤️ 1
    为啥我要自动更新呢?很多年前遇到一起案例,隔壁专项组的一台服务器,好像是 CentOS 3 还是 4 来着,被重度入侵了。检查了一下,两件蠢事凑在了一起,一是 sshd 没禁用 PasswordAuthentication 二是从来没更新,正好 sshd 本身有个安全漏洞,导致用口令认证登录时可以精心构造数据直接认证成功……这两项只要有一项处理了就不会被裸破进去。虽然隔壁专项组的系统不归我管,但毕竟是同一个单位里的。这事对我的心态影响很大。再后来经我手的 Linux 服务器如无特殊理由一概开启自动更新(怕出兼容性问题的至少对 security channel 更新开启,如果实在怕,在 RH 系上至少对 critical 等级的 security channel 更新开启),一概在配好公钥认证后关闭口令认证。虽然有点 PTSD ,但总比莫名其妙被入侵了好。
    adoal
        18
    adoal  
       2022-04-20 23:16:53 +08:00
    如果团队结构完善,人员精力够,应该像有几楼说的那样,订阅邮件列表,有了安全更新,review 一下,有必要的再更,以免破坏某些“依赖”特定 bug 的业务系统代码。

    但是很多传统单位的综合信息化人员是没精力这样做的。
    documentzhangx66
        19
    documentzhangx66  
       2022-04-20 23:59:25 +08:00
    1.肯定需要。

    2.Linux 系统与环境的安全与升级,由运维去做。

    3.Linux 系统中运行的用户代码的安全与升级,由代码的开发公司去做。

    4.更简单的方法是,对服务器区域的入口,购买第七层(应用层)防火墙,比如入侵检测、WAF 这种,能分析 http 与 https 的具体流量内容。

    而不是第 3 层像 iptables 或 firewall 那种。

    然后做好配置与自动升级,关键是出事后可以由防火墙厂家担责。并且这些厂家也有专门团队去跟着 0day 并及时下发最新的补丁包。

    5.做好等保,出事了有等保担一部分责。
    biubiuF
        20
    biubiuF  
       2022-04-21 00:05:09 +08:00
    不更新,更新要开变更会议,流程很麻烦
    zachary99
        21
    zachary99  
       2022-04-21 00:18:18 +08:00 via iPad
    没问题绝对不更新
    yanqiyu
        22
    yanqiyu  
       2022-04-21 00:21:01 +08:00
    一般懒得维护的服务器会用 CoreOS+检测服务状态回滚版本 (自己的玩具 VPS 而不是涉及身家的生产环境)
    要是生产环境应该可以上集群灰度更新+状态检测?实现跟随发行版更新的同时不一下炸掉生产环境?
    echo1937
        23
    echo1937  
       2022-04-21 00:22:25 +08:00 via iPhone
    只开安全更新
    pengtdyd
        24
    pengtdyd  
       2022-04-21 00:45:06 +08:00
    更新??????
    干这行不是有句真理吗:又不是不能跑,你干嘛动它?
    461da73c
        25
    461da73c  
       2022-04-21 01:25:34 +08:00 via Android
    开发机直接弄了个计划任务每天自动更新,爽。
    zengxs
        26
    zengxs  
       2022-04-21 01:47:23 +08:00
    ubuntu-server 会自动打安全补丁
    istevenshen
        27
    istevenshen  
       2022-04-21 08:42:32 +08:00
    2014 年的集群服务器,CentOS 6.5 用到现在,不敢更新~
    mingl0280
        28
    mingl0280  
       2022-04-21 09:14:06 +08:00 via Android   ❤️ 1
    必须更,月度强制更新(安全补丁),IT 定的,哪怕服务挂了也要更……
    你想想要是你家根证书发行商被黑了,那乐子就大了啊哈哈哈哈
    ericguo
        29
    ericguo  
       2022-04-21 09:28:23 +08:00
    你可以反着想想,如果没必要更新,为啥厂商要出这个补丁呢?

    手头就有一台 CentOS 8 的 Gold version ,只要重启就掉盘,我接手的时候我 TMD 都惊呆了,这得多懒才不更新一下补掉这么显而易见的 bug ?结果现在倒好 CentOS 8 的更新都停了,现在这机器不能重启,重启后就得用另外的 CentOS 系统恢复盘恢复磁盘才能重启成功。

    对于这样的机器,你问我要不要更新,我肯定是回答不更新的,只要不是我维护,怎么样都行。
    photon006
        30
    photon006  
       2022-04-21 09:35:09 +08:00
    每天执行一次,全年只有圣诞节那几天没有更新,平常工作日几乎都有。
    litguy
        31
    litguy  
       2022-04-21 10:06:56 +08:00
    @ericguo 没遇到这个 bug ,怀疑是引导扇区问题
    ericguo
        32
    ericguo  
       2022-04-21 10:42:49 +08:00
    @litguy 这种问题确实没法解,不是不能解,是我犯不着花那么多精力去搞一个没有效益没有影响的问题。


    更新固然有风险,但是这些风险是这世界上的所有更新的人都会遇到的,大家都会承受的风险摊到个人头上又有多少呢?更何况真的常用系统更新挂了都能上新闻好吗?但是你不更新,时间长了,那就是单单独独的自己的问题,你就是开 support ticket ,人家第一句都是不好意思,我们只支持最新版本。
    wonderfulcxm
        33
    wonderfulcxm  
       2022-04-21 10:46:49 +08:00 via iPhone
    看到这个帖子,立马去执行了一次更新
    fengjianxinghun
        34
    fengjianxinghun  
       2022-04-21 10:49:47 +08:00
    要是买 redhat 服务了,随便更新。。
    要是没买。。我是不敢更新
    liuzhaowei55
        35
    liuzhaowei55  
       2022-04-21 10:54:35 +08:00 via iPhone
    不更新,一般是新建服务器迁移服务
    liuxu
        36
    liuxu  
       2022-04-21 11:26:16 +08:00   ❤️ 1
    建议不更新的人用下 freebsd ,freebsd12.3-release 出来后,freebsd12.2-release 给 3 个月升级时间
    bthulu
        37
    bthulu  
       2022-04-21 11:48:09 +08:00
    一直自动更新省心
    kokutou
        38
    kokutou  
       2022-04-21 12:26:42 +08:00 via Android   ❤️ 1
    不更新等着被挂马吗。。
    LxnChan
        39
    LxnChan  
       2022-04-21 13:44:08 +08:00
    我家里的服务器在 ubuntu 更新内核后重启会死机,即便是不重启在更新结束 24 小时后出现各种问题,然后重启就也没什么反应了(看 ttl 内容应该是已经完成 ubuntu 引导了),好在是有备份,恢复就行了。

    至于安全问题,设置好防火墙的前提下不会有什么问题的
    CSGO
        40
    CSGO  
       2022-04-21 13:45:39 +08:00
    小白求问宝塔需要手动更新吗
    t2jk4000
        41
    t2jk4000  
       2022-04-21 13:47:20 +08:00
    需要
    Symo
        42
    Symo  
       2022-04-21 13:50:07 +08:00   ❤️ 1
    更新应该是有策略的, 肯定不能拿一台单点服务器莽啊.
    比如出了心脏滴血漏洞难道也不升级吗.
    wangyzj
        43
    wangyzj  
       2022-04-21 13:51:53 +08:00
    2011 年的阿里云 centos6 一直用到现在
    然后换了腾讯云,阿里云不用了
    dreamage
        44
    dreamage  
       2022-04-21 17:04:37 +08:00
    自己的服务器每天更新
    公司的服务器基本不更新
    RivetCity
        45
    RivetCity  
       2022-04-21 17:09:32 +08:00
    还是要更新的,关键看你们运维(或者外部支持)的技术实力。
    按道理要定期评估补丁,然后决定上不上。
    libook
        46
    libook  
       2022-04-21 17:11:52 +08:00
    周期性打安全补丁。

    软件更新取决于是否有必要,因为版本越旧,就越经过时间检验,就越能掌握全面的情况。

    理想情况下,做任何变动都要对软件包进行审计,以确保变动后符合预期,避免引入问题;但大多单位应该都没有这种条件。
    superchijinpeng
        47
    superchijinpeng  
       2022-04-21 17:13:11 +08:00
    kde neon 日更
    alzee
        48
    alzee  
       2022-04-21 17:23:07 +08:00
    这是我“Linux 一键装机脚本”里的一个函数,每台必跑
    ```
    setup_auto_upgrade(){
    local file o m d r
    if [ "$distro" = debian ]; then
    sudo $pkg install -y unattended-upgrades # In case not installed yet.
    file=/etc/apt/apt.conf.d/50unattended-upgrades
    # ${distro_codename}-updates & ${distro_codename}-proposed-updates
    o='origin=Debian,codename=${distro_codename}.*-updates'
    m='Unattended-Upgrade::Mail '
    d='Unattended-Upgrade::Remove-Unused-Dependencies'
    # Automatic-Reboot & Automatic-Reboot-WithUsers
    r='Unattended-Upgrade::Automatic-Reboot.*"\(false\|true\)"'

    # Set mail to
    sudo sed -i "/$m/s:\"\":\"$user\":" $file
    # Set Remove-Unused-Dependencies, Automatic-Reboot and Automatic-Reboot-WithUsers to true
    sudo sed -i "/$d\|$r/s:false:true:" $file
    # Uncomment these lines
    sudo sed -i "/$o\|$m\|$d\|$r/s://::" $file

    # Generate /etc/apt/apt.conf.d/20auto-upgrades
    sudo dpkg-reconfigure -plow unattended-upgrades
    fi

    if [ "$distro" = fedora ]; then
    sudo $pkg install -y dnf-automatic # In case not installed yet.
    local file=/etc/dnf/automatic.conf
    sudo sed -i '/apply_updates/s/no/yes/' $file
    sudo systemctl enable --now dnf-automatic.timer postfix
    fi
    }
    ```
    alzee
        49
    alzee  
       2022-04-21 17:41:03 +08:00   ❤️ 1
    这个脚步作用就是开启自动更新,时间就是用系统默认的,debian 6:00AM ,fedora 3:00PM 。每天更新,debian 的自动重启看情况。
    没出过问题。而且以我的经验,如果更新后出问题,基本都不是更新的问题,而是项目不规范。
    服务器我都用的 debian ,工作站都用的 fedora
    而且 debian 我从来都是用 testing 的。
    XiLingHost
        50
    XiLingHost  
       2022-04-21 17:50:46 +08:00
    所有服务都跑在集群上,节点更新肯定不影响的,不过大多数时候集群自动伸缩新创建的节点就会是新版本的了
    findex
        51
    findex  
       2022-04-21 17:52:41 +08:00   ❤️ 1
    security patches must be upgraded
    stanjia
        52
    stanjia  
       2022-04-21 17:54:57 +08:00   ❤️ 2
    * Linux 不等于 CentOS
    * 出门一定要锁门
    wu67
        53
    wu67  
       2022-04-21 17:55:09 +08:00
    还能跑我都不动...设置个定时重启...
    bruce0
        54
    bruce0  
       2022-04-21 18:14:40 +08:00
    云服务有安全问题一般都会发邮件提醒有安全问题一般都会更新,更新前先备份一下,出问题了能回滚

    本地自己玩的 linux 都会更新, 虚拟机里的也会先备份一下

    像公司内网用的 linux, 从来没用更新过, 因为在内网, 有安全漏洞也没啥影响, 万一更新出了问题 还给自己增加工作量
    ragnaroks
        55
    ragnaroks  
       2022-04-21 19:49:04 +08:00
    每周定时更新,如果自己处理不了最好找个专业的运维
    gamexg
        56
    gamexg  
       2022-04-21 20:03:17 +08:00
    我维护的代码服务器是想起来就更新,大概 1 个月一次。
    线上的不清楚具体频率,应该还也是每月左右更新一次。
    ladypxy
        57
    ladypxy  
       2022-04-21 20:17:10 +08:00 via iPhone
    linux 更新可不仅仅是一月一次,而是随时有安全更新就要安装……
    kwanzaa
        58
    kwanzaa  
       2022-04-21 20:25:01 +08:00
    有空就更新,只更新全部下线服务的机器。
    learningman
        59
    learningman  
       2022-04-21 20:35:58 +08:00
    没 CVE 就不动,不过反正服务也跑在 docker 里,外面怎么样了无所谓了
    alsas
        60
    alsas  
       2022-04-21 21:02:21 +08:00
    疯狂作死行为
    ttgo
        61
    ttgo  
       2022-04-21 21:06:54 +08:00
    不敢。
    kongkongyzt
        62
    kongkongyzt  
       2022-04-21 23:25:36 +08:00
    @lcy630409 同感。。。
    ihciah
        63
    ihciah  
       2022-04-22 01:27:16 +08:00 via iPhone
    https://gist.github.com/ihciah/3fa05d09955355cba67f89c53698be2f
    没开 unattened upgrade ,但搞了个 ansible 脚本一键升级所有我管理的机器。相比自动升级,万一升出严重问题立刻就能意识到并且修掉。
    tiga99
        64
    tiga99  
       2022-04-22 09:36:35 +08:00
    使用 apt 或 yum 更新到最新的不代表就修复漏洞了;系统本身的漏洞外人也没法搞你,通常容易出现问题的是 openssh,openssl,nginx,tomcat 这些;这些基础组件和应用,(默认情况下)你使用各大发行版命令更新通常也不会升级到最新版本,还是需要手动更新
    AilF
        65
    AilF  
       2022-04-22 09:45:16 +08:00
    安全补丁更新,其他略过,踩过好多次坑了
    maxbon
        66
    maxbon  
       2022-04-22 10:26:30 +08:00
    那些推荐更新的,不知道是不是没接触过生产环境。。不能瞎更新的,哪怕是安全补丁,也要根据情况来看怎么更,而不是无脑更新,更一个组件带崩整个系统的事不要太常见
    Cu635
        67
    Cu635  
       2022-04-22 10:53:45 +08:00
    @dlsflh
    有没有 security update 是看发行版的吧。
    yinzhili
        68
    yinzhili  
       2022-04-22 12:41:37 +08:00
    万一崩了你能背锅就行
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1060 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 19:13 · PVG 03:13 · LAX 12:13 · JFK 15:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.