问题描述
在我的 EC2 服务器上,当我执行 sudo apt-get update && sudo apt-get upgrade 时,我看到:
The following packages have been kept back:
linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual
我应该继续执行 sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual 来强制升级这些软件包吗?
最佳方法
简而言之,是的,您应该使系统保持最新的安全补丁。
具体如何推出安全补丁取决于您对风险的承受能力。以下是我过去用来回答这个问题的一些选项:
-
将升级应用到一组模仿您的生产环境的 QA 系统,并运行所有回归测试,以确保更改不会破坏任何功能或导致性能问题。一旦您感到满意,就可以对您的生产系统进行升级。
-
等一天,看看公众是否对更新引起的问题提出强烈抗议。如果一切看起来都很平静,请升级您的生产系统。
-
一旦可用,就在您的生产系统上应用每个安全补丁。
我在 Ubuntu 上结合使用了这三种方法,并且多年来逐渐转向选项 3。安全补丁在发布之前经过严格测试,并非常小心地不破坏现有功能。我在 Ubuntu 支持的映像中升级从来没有遇到过问题(尽管几年前我在 EC2 上使用带有 Ubuntu 的非 Ubuntu 内核时曾经遇到过问题)。
请注意,升级内核还需要重新启动才能应用更改。
上述经验和建议仅适用于 Ubuntu 版本(例如 11.04)内的升级。升级到新的 Ubuntu 版本是一项更大、风险更大的任务,在将其部署到生产系统之前肯定需要进行测试。
以下是 RightScale 刚刚发布的有关此主题的文章,介绍了如何管理其环境中的安全升级:
\\n
http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/
\\n