Dois-je mettre à niveau les packages du noyau sur les instances EC2?

18

Sur mon serveur EC2, quand je le fais sudo apt-get update && sudo apt-get upgrade, je vois:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

Dois-je continuer et faire sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualpour forcer la mise à niveau de ces packages?

Adam Monsen
la source
3
Ou faites apt-get update && apt-get upgrade && apt-get dist-upgrade. Cela mettra à niveau les packages retenus.
Mark Russell

Réponses:

18

La réponse courte est, oui, vous devez garder vos systèmes à jour en ce qui concerne les correctifs de sécurité.

La manière exacte dont vous déployez les correctifs de sécurité dépend de votre tolérance au risque. Voici quelques options que j'ai utilisées pour répondre à cette question dans le passé:

  1. Appliquez les mises à niveau à un ensemble de systèmes d'assurance qualité qui imitent votre environnement de production et exécutez tous vos tests de régression pour vous assurer que les modifications ne cassent aucune fonctionnalité ou ne provoquent pas de problèmes de performances. Une fois que vous êtes satisfait, déployez les mises à niveau de vos systèmes de production.

  2. Attendez un jour et voyez s'il y a un tollé public à propos des problèmes causés par les mises à jour. Si tout vous semble paisible, mettez à niveau vos systèmes de production.

  3. Appliquez chaque correctif de sécurité sur vos systèmes de production dès qu'il est disponible.

J'ai utilisé une combinaison de ces trois approches en utilisant Ubuntu et je suis progressivement passé à l'option 3 au fil des ans. Les correctifs de sécurité sont fortement testés avant d'être publiés et un grand soin est pris pour ne pas casser les fonctionnalités existantes. Je n'ai jamais eu de problème de mise à niveau dans les images prises en charge par Ubuntu (bien que j'ai eu un problème il y a des années lorsque j'utilisais un noyau non Ubuntu avec Ubuntu sur EC2).

Notez que la mise à niveau du noyau nécessite également un redémarrage pour appliquer les modifications.

L'expérience et les recommandations ci-dessus s'appliquent uniquement à la mise à niveau dans une version d'Ubuntu (par exemple, 11.04). La mise à niveau vers une nouvelle version d'Ubuntu est une tâche beaucoup plus vaste et plus risquée et nécessite certainement des tests avant de la déployer dans vos systèmes de production.

Voici un article sur ce sujet qui vient d'être publié par RightScale sur la façon de gérer les mises à niveau de sécurité dans leur environnement:

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/

Eric Hammond
la source
3
Bonne réponse. Peut-être ajouter une note que la mise à niveau du noyau n'est vraiment possible que sur les instances soutenues par EBS? C'est toujours le cas, non?
Mark Russell
3
Mark: Il était vrai que les noyaux de stockage d'instance ne pouvaient pas avoir leurs noyaux mis à niveau en place, mais avec la sortie de la paravirtualisation il y a quelque temps, les noyaux réels peuvent être stockés sur l'AMI et non sur l'AKI. Cela signifie que l'instance peut mettre à niveau le noyau sur son volume EBS local et le faire coller après un redémarrage même s'il utilise le même AKI. Je viens de tester cela avec Ubuntu 11.04 (us-east-1 ami-e2af508b) et l'instance de stockage d'instance est arrivée avec le noyau plus récent correct après une mise à niveau dist et un redémarrage.
Eric Hammond
2
correction à mon commentaire précédent: "l'instance peut mettre à niveau le noyau sur son volume racine de magasin d'instances local et le faire coller"
Eric Hammond