Ставите ли вы апдейты, если этого не просят ради поддержания актуальности, закрытия CVE и etc?
Всем привет. Интереса ради хочу узнать общ. мнение по избитой теме обновлений. Есть в одном ЦОД (секурность, закрытый сегмент, дотошные безопасники, все дела) тачки на относительно старых RHEL 6.x, там крутится много сайтов на cms, которая такакая же древняя. Всё это дело ни разу не обновлялось. И вот внутренний перфекционизм за то, чтобы обновить всё по возможности, но классический принцип "работает - не трогай" не дает покоя. Объективной необходимости ставить обновления нет, свои функции выполняет, извне пара портов открыта (хотя если очень надо и через них дырку найдут). Казалось бы, зачем обновлять, но есть адепты обновлений, а есть адепты секты лентяев, кто не хочет обновлять и поддерживать в актуальном состоянии. А когда будет нужно, то окажется, что спустя 100500 версий просто так без бубна не обновишь и получается, что себе только хуже. Вот я и нахожусь по две стороны: забить и ждать, когда "надо будет" или же потихоньку начать обновлять.
Есть к тому же разные проекты, которые базируются физически уже на более свежей centos 7.2 и с момента первичной настройки системные пакеты, ядро, также не обновлялись (ну тут хотя бы cms апдейдится), но всё равно напрягает, что однажды надо будет обновить, т.к. разрабам что-то понадобится из последней версии какого-либо пакета, который потребует апдейта всей ОС.
А просто так "обновления ради обновлений" ставить тоже не хочется. Резюмируя, сформирую вопрос: ставите ли вы апдейты, если этого не просят ради поддержания актуальности, закрытия CVE и etc? И что вообще по всей этой теме думаете? Спасибо.
Обновления безопасности обязательно, особенно на системах которые смотрят в интернет.
Обновления функционала, вот тут лучше "работает - не трогай" :) Примеры. 1. Есть в аэропорту рентген-сканер багажа, управляется компьютером с предустановленной ОС Windows NT, попытка обновить - это возможность получить очень дорогой в оживлении кирпич. 2. Стоит в одной организации, в далеком-далеком филиале файловый сервер на ОС Windows 2003 R2, поставить более свежую ОС не позволяет отсутствие новых драйверов, поменять железо не позволяет финансовая обстановка. Тем не менее аптайм у него 2 года и ни одного разрыва. Работает ?) Не трогай :)
Ну у нас есть похожая ситуация. Есть некий станок, управляемый тачкой с виндой XP на испанском. Обновлять или вообще как-то ее трогать запрещено категорически - иначе мы точно также получаем преогромных размеров (станок большой) кирпич :)
Но это исключения.
внутренний перфекционизм за то, чтобы обновить всё по возможности
Правильно.
классический принцип "работает - не трогай"
Это очень плохой принцип, которым никогда не следует пользоваться.
спустя 100500 версий просто так без бубна не обновишь
Так и есть. С мажорной на мажорную, чаще всего, просто так не обновиться.
ставите ли вы апдейты, если этого не просят ради поддержания актуальности, закрытия CVE и etc?
Да, безусловно. Обновления (сами обновления, патчи) никто не делает просто так, от нечего делать, это всегда багфиксы, закрытия дыр, новые функции.
Не каждый день, но раз в 2-4 недели точно.
Вам же советую снять образ какого-нибудь сервера через dd и подрубить его к той же VirtualBox и, для начала, обновить там. Если всё хорошо - обновлять боевые.
Для EL6 выходят собственные обновления - до сих пор. Да, там основная пакетая база древняя, как гумно мамонта, но обновления на ведро и основные пакеты выходят и при желании можно туда вкорячить что-то более-менее свежее.
Если не обновляться, то однажды можно попасть в ситуацию, когда начальство рвчет и мечет, требуя поставить софт Х, для установки кторого нужен софт Y, который не ставится потому что библиотека Z версии ниже чем надо, а для ее обновления нужно перелопатить полсистемы.... Рональд Макдональд дал хороший совет - снимите образ, попробуйте загнать в виртуалку и обновить и посмотреть, какие косяки выплывут. Начинайте с наименее нагруженной тачки.
А просто так "обновления ради обновлений" ставить тоже не хочется.
И правильно, просто так - опасно. У меня налажен процесс как жить на rolling release в проде, и когда процесс налажен - можно обновляться каждый день, а "просто так" - опасно.
Но тут есть момент в том, что речь о RHEL, они ж не обновляют кардинально в рамках одной версии дистрибутива, а сами все тестируют на совместимость. И если выпускают апдейт - видимо оно надо.
Если есть вероятность возникновения проблемы, то ставишь на тестовую машину/виртуалку нужную версию ОС и ПО, разворачиваешь там один "сайтов на cms, которая такакая же древняя".
Протестировать работоспособность на типичных задачах. Если проблем не будет, то можно и в бой кидать.
Если движок обновить не получится, то оно хотя бы будет работать на более новой версии http-сервера и интерпретатора с закрытыми дырками.
