Est-il important de redémarrer Linux après une mise à jour du noyau?

J'ai quelques serveurs Web de production Fedora et Debian qui hébergent nos sites ainsi que des comptes shell utilisateur (utilisés pour le travail git vcs, certaines sessions screen + irssi, etc.).

Parfois, une nouvelle mise à jour du noyau descendra dans le pipeline dans yum/ apt-get, et je me demandais si la plupart des correctifs sont suffisamment graves pour justifier un redémarrage, ou si je peux appliquer les correctifs sans redémarrage.

Notre serveur de développement principal dispose actuellement de 213 jours de disponibilité, et je ne savais pas s'il n'était pas sûr d'exécuter un noyau aussi ancien.

Il n'y a rien de vraiment spécial à avoir une longue disponibilité. Il est généralement préférable d'avoir un système sécurisé. Tous les systèmes ont besoin de mises à jour à un moment donné. Vous appliquez probablement déjà des mises à jour, planifiez-vous des interruptions lorsque vous appliquez ces mises à jour? Vous devriez probablement juste au cas où quelque chose se passe mal. Un redémarrage ne devrait pas durer si longtemps.

Si votre système est si sensible aux pannes, vous devriez probablement penser à une sorte de configuration de clustering afin de mettre à jour un seul membre du cluster sans tout arrêter.

Si vous n'êtes pas sûr d'une mise à jour particulière, il est probablement plus sûr de planifier un redémarrage et de l'appliquer (de préférence après l'avoir testé sur un autre système similaire).

Si vous souhaitez savoir si la mise à jour est importante, prenez le temps de lire la note de sécurité et suivez les liens vers le CVE ou les articles / listes / blogs décrivant le problème. Cela devrait vous aider à décider si la mise à jour s'applique directement à votre cas.

Même si vous ne pensez pas que cela s'applique, vous devriez toujours envisager de mettre à jour votre système éventuellement. La sécurité est une approche en couches. Vous devez supposer qu'à un moment donné, ces autres couches peuvent échouer. Vous pouvez également oublier que votre système est vulnérable car vous avez ignoré une mise à jour lorsque vous modifiez la configuration ultérieurement.

Quoi qu'il en soit, si vous voulez ignorer ou attendre un moment la mise à jour sur les systèmes basés sur Debian, vous pouvez mettre le paquet en attente. Personnellement, j'aime mettre en attente tous les paquets du noyau au cas où.

Méthode CLI pour mettre en attente un paquet sur des systèmes basés sur Debian.

dpkg --get-selections | grep 'linux-image' | sed -e 's/install/hold/' | sudo dpkg --set-selections

La plupart des mises à jour ne nécessitent pas de redémarrage, mais les mises à jour du noyau le font (vous ne pouvez pas vraiment remplacer le noyau en cours d'exécution sans redémarrer).

Une chose que j'ai découverte est que si votre serveur fonctionne depuis longtemps sans redémarrage, il est plus susceptible de vouloir effectuer des vérifications de disque (fsck) lorsque vous redémarrez, ce qui peut augmenter considérablement le temps nécessaire pour revenir. à nouveau opérationnel. Mieux vaut anticiper cela et le planifier.

J'ai également découvert que les changements de configuration peuvent parfois être manqués et ne seront pas remarqués avant un redémarrage (comme l'ajout de nouvelles règles d'adresses IP / iptables, etc.) Cela ajoute également au "risque de temps d'arrêt" lors du redémarrage peu fréquent.

Mieux vaut prévoir un certain temps d'arrêt lors d'un redémarrage - ou si ce n'est pas une option souhaitable, configurez vos serveurs en clusters afin que les redémarrages puissent être effectués si nécessaire.

Si vous avez juste besoin de mises à jour de sécurité et non d'un noyau complètement nouveau, vous pourriez être intéressé par Ksplice - il vous permet de patcher certaines mises à jour du noyau dans un noyau en cours d'exécution.

Il n'y a pas de réponse simple à cela, certaines mises à niveau du noyau ne sont pas vraiment liées à la sécurité, et certaines peuvent résoudre des problèmes de sécurité qui ne vous affectent pas, tandis que d'autres peuvent vous affecter.

La meilleure approche imo est de vous inscrire aux listes de diffusion de sécurité pertinentes comme security-announce d'ubuntu afin que vous puissiez voir quand les correctifs de sécurité sortent et comment ils pourraient vous affecter.

Je considérerais également apticron ou similaire pour obtenir les détails et les journaux des modifications de toute autre mise à jour de package.

C'est une fonction de la mise à jour - si elle corrige un priv. escalade qui se traduit par un accès root, alors vous voudrez peut-être l'appliquer.

Si vous ne redémarrez pas , vous devez vous assurer que le nouveau noyau n'est pas celui par défaut pour démarrer au démarrage.

La dernière chose que vous voulez, c'est un noyau non testé utilisé pour la production après un redémarrage non planifié.

Comme Mibus l'a mentionné, si vous installez le noyau et ne redémarrez pas , assurez-vous que ce n'est pas la valeur par défaut. Vous ne savez pas si ou dans quel état votre serveur va revenir, alors assurez-vous qu'il est testé.

Cela étant dit, je pense qu'il est bon de prendre l'habitude de redémarrer les machines assez régulièrement lorsque cela est possible. De nombreuses pannes matérielles et logicielles ne se manifesteront que lors d'un redémarrage et il est préférable de les découvrir lorsque vous planifiez un redémarrage plutôt que pendant une panne imprévue.

Notez que certaines des mises à jour du noyau Debian nécessitent (enfin, je le recommande vivement) de redémarrer dès que possible après les avoir appliquées.

C'est le cas lorsque la différence n'est pas suffisante pour justifier un changement de répertoire de modules, mais que les modules peuvent différer.

Vous serez averti par Debian lorsque vous installerez de tels paquets de noyau.