更新生產 Ubuntu 時應注意的事項

Question 1

與 Windows、RHEL、CentOS、SuSE、debian 等相比，為 Ubuntu 打補丁沒有什麼特別之處。

在設計補丁程式時，您需要保持的基本心態是假設一些事情將要休息。

我在設計補丁設定時傾向於使用的一些基本準則是：

始終使用本地系統在內部集中到安裝補丁的網絡

這可能包括使用 WSUS 或<your_os_here>內部修補程式管理電腦的映像。最好能夠集中查詢並讓您了解各個機器上安裝的補丁的狀態。

如果可能的話，在機器上預先進行安裝。

如果可能的話，當補丁發佈時，中央伺服器將它們複製到各個機器上。這實際上只是節省時間，因此您不必等待它們下載和安裝，您只需在補丁視窗期間開始安裝即可。

取得中斷視窗來安裝補丁，您可能需要重新啟動，並且可能會出現某些問題。確保這些系統的利害關係人知道正在部署修補程式。做好迎接「這個」不起作用的電話的準備。

根據我的基本理論，即補丁會破壞事物，請確保您有一個中斷視窗來應用補丁足夠長的時間來解決關鍵問題，並可能回滾補丁。您不一定需要在補丁發布後讓人們坐在那裡進行測試。就我個人而言，我非常依賴我的監控系統來讓我知道一切都在我們可以逃脫的最低水平上運行。但也要做好準備，在人們開始工作時可能會遇到一些煩人的小問題。您應該始終安排專人隨時準備接聽電話 - 最好不要是凌晨 3 點才起床修補盒子的人。

盡可能自動化

就像 IT 中的其他事物一樣，腳本、腳本然後再編寫更多腳本。腳本包下載、安裝啟動、鏡像。基本上，你想把修補窗戶變成一項保姆任務，只需要一個人在那裡以防萬一出現問題。

每月有多個窗口

如果由於某種原因無法在「指定的晚上」對某些伺服器進行修補，這使您能夠不對其進行修補。如果您無法在第 1 晚完成這些任務，請要求它們在第 2 晚有空。

最重要的是跟上補丁！如果你不這樣做，你會發現自己必須進行 10 個小時以上的大補丁視窗才能回到你所陷入的點。引入更多可能出錯的點，並使尋找導致問題的補丁變得更加困難。

這個問題的另一部分是，跟上補丁是“一件好事”，但補丁幾乎每天都會發布。如果每天都有新的安全修補程式可用，那麼需要進行多少次規劃停機？

每月一次或每隔一個月修補一次伺服器是 - 恕我直言 - 一個非常可以實現且可以接受的目標。不僅如此，您將不斷為伺服器打補丁，更不用說您會開始遇到每台伺服器需要應用數百個補丁的情況。

至於你一個月需要幾個窗戶？這取決於你的環境。你們有多少台伺服器？您的伺服器所需的正常運作時間是多少？

9x5 的較小環境可能每月只需要一個補丁視窗。大型 24x7 商店可能需要兩個。非常大的 24x7x365 可能需要每週滾動視窗才能每週修補一組不同的伺服器。

找到適合您和您的環境的頻率。

需要記住的一件事是 100% 最新是不可能的要達到的目標 - 不要讓您的安全部門告訴您其他情況。盡力而為，不要落後太多。

Answer