Answers:
两种方法都有优点和缺点,您确实需要研究系统体系结构才能知道哪种方法最适合您。无论走哪种路线,都应该明白为什么选择该方法以及缺点是什么,以便您可以弥补它们。
这里有一些要考虑的事情:
安全更新应该始终以一种或另一种方式应用,而不是早于而不是晚。如果您的服务器由于某种原因未能及时应用安全更新,请纠正您的系统管理员习惯。
发行版更新通常很好,尤其是如果它们来自官方来源。如果您觉得使用它们感到不舒服,则可能是您没有在使用满足您需求的最佳发行版。您应该使用与您的方法相匹配的发行版。换句话说,您可以信任更新以最大程度地满足您的需求。如果它们移动太快或进行软件更改而使您的工作中断,那么您可能应该使用其他发行版。
更新可能会破坏您的资料。如果您使用了过时的功能或只是写了不好的东西,那么使用较新的软件可能会破坏您的代码。您应该考虑一种系统体系结构,该体系结构允许您在更新在生产系统上运行之前对更新进行测试。
如果使用自动更新功能,则应该始终有一种方法可以回滚到已知的工作配置。如果某些更新破坏了生产系统上的产品,则完整的系统快照可以节省生命。
这不是一个详尽的清单,只是一些让您思考的事情。最后,这不是别人可以为您做出的决定。您是管理员。了解您的系统。了解您的发行版。
我同意Caleb所说的100%。我还有其他一些特定于CentOS的刻痕:
该发行版基于RedHat及其补丁。这些补丁经过了很好的测试,在过去的四年中,我们一直在将CentOS 5与50多个服务器一起使用,从来没有一个糟糕的补丁。
但是:尽管我们每天都会自动将所有补丁程序应用到仅运行分发程序的服务器,但是只有在测试系统在该配置中运行了几天后,我们才会启动生产服务器(在glibc或内核更新之后)。
对于其他存储库,我们将其镜像到暂存目录。这些修补程序首先应用于测试服务器。如果证明没有任何损坏,我们将激活登台目录并将其复制到生产存储库中。
自动修补的副作用是修补后的组件通常会重新启动-因此,如果在启动后对它们进行了错误配置,则重新启动将失败。