@luxter

Ставите ли вы апдейты, если этого не просят ради поддержания актуальности, закрытия CVE и etc?

Всем привет. Интереса ради хочу узнать общ. мнение по избитой теме обновлений. Есть в одном ЦОД (секурность, закрытый сегмент, дотошные безопасники, все дела) тачки на относительно старых RHEL 6.x, там крутится много сайтов на cms, которая такакая же древняя. Всё это дело ни разу не обновлялось. И вот внутренний перфекционизм за то, чтобы обновить всё по возможности, но классический принцип "работает - не трогай" не дает покоя. Объективной необходимости ставить обновления нет, свои функции выполняет, извне пара портов открыта (хотя если очень надо и через них дырку найдут). Казалось бы, зачем обновлять, но есть адепты обновлений, а есть адепты секты лентяев, кто не хочет обновлять и поддерживать в актуальном состоянии. А когда будет нужно, то окажется, что спустя 100500 версий просто так без бубна не обновишь и получается, что себе только хуже. Вот я и нахожусь по две стороны: забить и ждать, когда "надо будет" или же потихоньку начать обновлять.
Есть к тому же разные проекты, которые базируются физически уже на более свежей centos 7.2 и с момента первичной настройки системные пакеты, ядро, также не обновлялись (ну тут хотя бы cms апдейдится), но всё равно напрягает, что однажды надо будет обновить, т.к. разрабам что-то понадобится из последней версии какого-либо пакета, который потребует апдейта всей ОС.

А просто так "обновления ради обновлений" ставить тоже не хочется. Резюмируя, сформирую вопрос: ставите ли вы апдейты, если этого не просят ради поддержания актуальности, закрытия CVE и etc? И что вообще по всей этой теме думаете? Спасибо.
  • Вопрос задан
  • 119 просмотров
Пригласить эксперта
Ответы на вопрос 5
@EraserKhv
Системный администратор
Обновления безопасности обязательно, особенно на системах которые смотрят в интернет.

Обновления функционала, вот тут лучше "работает - не трогай" :) Примеры. 1. Есть в аэропорту рентген-сканер багажа, управляется компьютером с предустановленной ОС Windows NT, попытка обновить - это возможность получить очень дорогой в оживлении кирпич. 2. Стоит в одной организации, в далеком-далеком филиале файловый сервер на ОС Windows 2003 R2, поставить более свежую ОС не позволяет отсутствие новых драйверов, поменять железо не позволяет финансовая обстановка. Тем не менее аптайм у него 2 года и ни одного разрыва. Работает ?) Не трогай :)

Все зависит от ситуации.
Ответ написан
Zoominger
@Zoominger
System Integrator
внутренний перфекционизм за то, чтобы обновить всё по возможности

Правильно.

классический принцип "работает - не трогай"

Это очень плохой принцип, которым никогда не следует пользоваться.

спустя 100500 версий просто так без бубна не обновишь

Так и есть. С мажорной на мажорную, чаще всего, просто так не обновиться.

ставите ли вы апдейты, если этого не просят ради поддержания актуальности, закрытия CVE и etc?

Да, безусловно. Обновления (сами обновления, патчи) никто не делает просто так, от нечего делать, это всегда багфиксы, закрытия дыр, новые функции.
Не каждый день, но раз в 2-4 недели точно.
Вам же советую снять образ какого-нибудь сервера через dd и подрубить его к той же VirtualBox и, для начала, обновить там. Если всё хорошо - обновлять боевые.
Ответ написан
Комментировать
CityCat4
@CityCat4
Жил-был у бабушки серенький троллик...
Для EL6 выходят собственные обновления - до сих пор. Да, там основная пакетая база древняя, как гумно мамонта, но обновления на ведро и основные пакеты выходят и при желании можно туда вкорячить что-то более-менее свежее.
Если не обновляться, то однажды можно попасть в ситуацию, когда начальство рвчет и мечет, требуя поставить софт Х, для установки кторого нужен софт Y, который не ставится потому что библиотека Z версии ниже чем надо, а для ее обновления нужно перелопатить полсистемы....
Рональд Макдональд дал хороший совет - снимите образ, попробуйте загнать в виртуалку и обновить и посмотреть, какие косяки выплывут. Начинайте с наименее нагруженной тачки.
Ответ написан
Комментировать
@ProFfeSsoRr
Сис.админ по Linux
А просто так "обновления ради обновлений" ставить тоже не хочется.

И правильно, просто так - опасно. У меня налажен процесс как жить на rolling release в проде, и когда процесс налажен - можно обновляться каждый день, а "просто так" - опасно.
Но тут есть момент в том, что речь о RHEL, они ж не обновляют кардинально в рамках одной версии дистрибутива, а сами все тестируют на совместимость. И если выпускают апдейт - видимо оно надо.
Ответ написан
Комментировать
Radjah
@Radjah
Если есть вероятность возникновения проблемы, то ставишь на тестовую машину/виртуалку нужную версию ОС и ПО, разворачиваешь там один "сайтов на cms, которая такакая же древняя".

Протестировать работоспособность на типичных задачах. Если проблем не будет, то можно и в бой кидать.

Если движок обновить не получится, то оно хотя бы будет работать на более новой версии http-сервера и интерпретатора с закрытыми дырками.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы