Answers:
简短的答案是,是的,您应该就安全修补程序保持系统最新。
您如何安全地部署安全补丁取决于您对风险的承受能力。这是我过去用来回答此问题的一些选项:
将升级应用于一组模拟您的生产环境的QA系统,并运行所有回归测试,以确保所做的更改不会破坏任何功能或引起性能问题。感到满意后,就可以对生产系统进行升级。
等待一天,看看是否有公众对由更新引起的问题的强烈抗议。如果一切看起来都很平静,请升级您的生产系统。
请在生产系统上尽快应用每个安全补丁。
我已经在Ubuntu中结合使用了这三种方法,并且在过去的几年中逐渐转向了选项3。安全补丁在发布之前经过了严格的测试,并格外小心,不要破坏现有功能。我从来没有在Ubuntu支持的映像中升级时遇到任何问题(尽管几年前当我在EC2上使用Ubuntu的非Ubuntu内核时确实遇到了问题)。
请注意,升级内核还需要重新启动才能应用更改。
以上经验和建议仅适用于在Ubuntu版本(例如11.04)中进行升级。升级到新的 Ubuntu版本是一项更大且风险更大的任务,在将其推广到生产系统之前,肯定需要进行测试。
这是RightScale刚刚发布的有关此主题的文章,内容涉及如何在其环境中管理安全升级:
http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/
apt-get update && apt-get upgrade && apt-get dist-upgrade。这将升级保留的软件包。