更新以前未维护的服务器RHEL5.7的最佳实践

最近，我已经对新的RedHat EL5.6服务器进行了维护。显而易见，在过去的12个月中，几乎没有注意任何软件包更新。

通常，我会考虑是否不会损坏-不要修复它。但是，在向RHN注册服务器并使用yum-security插件检查安全更新之后，仅提供1​​100多个“安全”更新。

有人有类似的情况吗？我不愿意仅更新所有内容，因为我想知道要更新的内容以及它是否有可能影响正在运行的设备（这是生产服务器）上的任何内容。但是，看起来也很符合这种做法，需要我逐行通过1100软件包勘误表。有没有更有效的解决方案？

一般而言，安全更新被认为是比较安全的，特别是对于具有RedHat这样目标的发行版而言。他们的核心重点是创建一致的操作环境。因此，维护人员倾向于选择各种版本的包装，并坚持长期使用。要明白我的意思看这种封装类的版本kernel，python，perl，和httpd。他们还做的是从上游开发人员向后移植安全补丁。因此，如果为Apache httpd 2.2.x的所有版本都发现了安全漏洞，那么Apache基金会可能会发布带有修复程序的2.2.40版，但是RedHat会在本地发布补丁程序并发布httpd-2.2.3-80修复程序。

还请记住，您当前正在谈论RHEL5.7系统，当前版本是5.9。一些软件供应商将仅支持某些子版本。例如，最近我遇到了一款软件，供应商说它只能在5.4上运行。这并不意味着它不能在5.9上运行，而是意味着如果不起作用，他们将不提供任何支持。

对于这么长时间未打补丁的系统进行大规模更新也存在一些担忧。我遇到的最大问题实际上更多是配置管理问题，而大型更新只会加剧该问题。有时会更改配置文件，但管理员永远不会重新启动服务。这意味着磁盘上的配置从未经过测试，并且正在运行的配置可能不再存在。因此，如果服务重新启动（应用内核更新后就会发生），则该服务实际上可能不会重新启动。或者重新启动后，它的行为可能有所不同。

我的建议是进行更新，但要明智一些。

• 在维护时段内进行规划。如果没有其他要求，服务器将需要重新启动，则有许多内核更新，您将必须重新启动才能应用它们。
• 确保在执行任何操作之前进行完整备份。这可能是快照，如果这是VM，则在您所使用的工具上触发完整备份，将其存档/（到另一个系统），dd对驱动器进行映像，无论如何。只要可以恢复即可。
• 计划如何应用更新。您不想只是扔yum update -y它走开。对于yum所做的所有善事，当它根据依赖项应用更新时，它不会排序。过去已经引起了问题。我总是跑yum clean all && yum update -y yum && yum update -y glibc && yum update。这倾向于解决大多数潜在的订购问题。

这可能也是重新平台的好时机。我们已经有相当一段时间的RHEL6了。取决于该服务器的功能，在并行启动一个新实例时，仅让该服务器按原样运行可能是有意义的。然后，在安装完之后，您可以复制所有数据，测试服务并执行转换。这也使您有机会从头开始了解该系统是标准化的，干净的，有据可查的以及所有爵士乐。

无论您做什么，我都认为您必须掌握最新的系统非常重要。您只需要确保以一种可以信任您的工作和制成品的方式进行操作即可。

以我的经验，RHEL不会破坏同发行版更新中的向后兼容性。

但是，它不会扩展到已在rpm外部安装的任何软件。

您可以rpm -qf用来查找怀疑是外部编译的文件，如果它返回“不属于任何程序包”，则升级中可能会出现问题。

我将对服务器进行镜像并进行升级，但是，我比大多数人都更加恶心。