¿Debo actualizar los paquetes del kernel en instancias EC2?

18

En mi servidor EC2, cuando lo hago sudo apt-get update && sudo apt-get upgrade, veo:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

¿Debo continuar y hacer sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualpara forzar la actualización de estos paquetes?

Adam Monsen
fuente
3
O hazlo apt-get update && apt-get upgrade && apt-get dist-upgrade. Eso actualizará los paquetes retenidos.
Mark Russell

Respuestas:

18

La respuesta breve es sí, debe mantener sus sistemas actualizados con respecto a los parches de seguridad.

La forma exacta en que implementa los parches de seguridad depende de su tolerancia al riesgo. Aquí hay algunas opciones que he usado para responder esta pregunta en el pasado:

  1. Aplique las actualizaciones a un conjunto de sistemas de control de calidad que imitan su entorno de producción y ejecute todas sus pruebas de regresión para asegurarse de que los cambios no rompan ninguna funcionalidad o causen problemas de rendimiento. Una vez que esté satisfecho, implemente las actualizaciones de sus sistemas de producción.

  2. Espere un día y vea si hay una protesta pública sobre los problemas causados ​​por las actualizaciones. Si todo parece tranquilo, actualice sus sistemas de producción.

  3. Aplique cada parche de seguridad en sus sistemas de producción tan pronto como esté disponible.

He usado una combinación de estos tres enfoques usando Ubuntu, y gradualmente me he movido hacia la opción 3 a lo largo de los años. Los parches de seguridad se prueban mucho antes de su lanzamiento y se tiene mucho cuidado para no romper la funcionalidad existente. Nunca tuve problemas para actualizar las imágenes compatibles con Ubuntu (aunque tuve un problema hace años cuando estaba usando un kernel que no es Ubuntu con Ubuntu en EC2).

Tenga en cuenta que la actualización del núcleo también requiere un reinicio para aplicar los cambios.

La experiencia y las recomendaciones anteriores se aplican solo a la actualización dentro de una versión de Ubuntu (por ejemplo, 11.04). Actualizar a una nueva versión de Ubuntu es una tarea mucho más grande y arriesgada y definitivamente requiere pruebas antes de implementarlo en sus sistemas de producción.

Aquí hay un artículo sobre este tema que acaba de publicar RightScale sobre cómo administrar las actualizaciones de seguridad en su entorno:

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/

Eric Hammond
fuente
3
Buena respuesta. ¿Quizás agregar una nota de que la actualización del núcleo solo es realmente posible en instancias respaldadas por EBS? Ese sigue siendo el caso, ¿no?
Mark Russell el
3
Mark: Solía ​​ser cierto que las instancias de almacenamiento de instancias no podían tener sus núcleos actualizados en su lugar, pero con el lanzamiento de la paravirtualización hace un tiempo, los núcleos reales se pueden almacenar en el AMI y no en el AKI. Esto significa que la instancia puede actualizar el kernel en su volumen EBS local y hacer que se pegue después de un reinicio aunque esté usando el mismo AKI. Acabo de probar esto con Ubuntu 11.04 (us-east-1 ami-e2af508b) y la instancia de instancia-tienda apareció con el kernel más nuevo correcto después de una actualización de dist y reinicio.
Eric Hammond el
2
corrección a mi comentario anterior: "la instancia puede actualizar el kernel en su volumen raíz de tienda de instancias local y hacer que se pegue"
Eric Hammond