我有一些生产Fedora和Debian网络服务器来托管我们的网站以及用户
shell帐户(用于git vcs工作,一些屏幕iRSSi会话等).
有时新的内核更新将在yum / apt-get中进入管道,我想知道大多数修复程序是否足够严重以保证重新启动,或者我是否可以应用修复程序sans reboot.
我们的主要开发服务器目前有213天的正常运行时间,我不确定运行这么老的内核是否不安全.
解决方法
有很长的正常运行时间没有什么特别之处.拥有安全系统通常更好.所有系统在某些时候都需要更新.您可能已经在应用更新,在应用这些更新时是否安排了中断?你可能应该万一出现问题.重启不应该那么多时间.
如果您的系统对中断非常敏感,那么您可能应该考虑某种类型的群集设置,以便更新群集中的单个成员而不会导致所有内容崩溃.
如果您不确定特定的更新,可能更安全地安排重新启动并应用它(最好在另一个类似系统上测试之后).
如果您有兴趣了解更新是否重要,请花时间阅读安全通知,并按照链接返回CVE或描述问题的帖子/列表/博客.这可以帮助您确定更新是否直接适用于您的情况.
即使您认为它不适用,您仍应考虑最终更新您的系统.安全性是一种分层方法.你应该假设某些时候其他层可能会失败.此外,您可能会忘记自己有一个易受攻击的系统,因为您在稍后的某个时间点更改配置时会跳过更新.
无论如何,如果您想在基于Debian的系统上忽略或等待更新,您可以暂停程序包.我个人喜欢把握住所有内核包以防万一.
用于在基于Debian的系统上设置包的保留的CLI方法.
dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections
