Ubuntu Suomen keskustelualueet

Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: Jagster - 03.07.20 - klo:12.08

Otsikko: *** System restart required ***
Kirjoitti: Jagster - 03.07.20 - klo:12.08
Ei taatusti edistyneempää käyttöä, mutta serveriä kylläkin - VPS ja Ubuntu 20.04

Päivitykset huutaa uudelleenkäynnistystä 3 - 7 päivän välein. Onko tuo aivan ehdoton vaatimus vai onko osa päivityksistä sellaisia, joista ei virtuaaliserverillä tarvitse piitata buutin suhteen?

Asialla ei olisi muuten mitään sen suurempaa ongelmaa, mutta cache nollaantuu aina. Plus että koska kyseessä on tuotannossa olevat nettipalvelut, niin pitää aina odottaa johonkin aamuyöhön, että sivustoilla on mahdollisimman vähän liikennettä. Eihän rebootiin tietysti tolkuttomasti aikaa mene, mutta se on aina käsitöitä: UFW vinkuu logien rikkoutumisesta tms. ja vaatii restartin tullakseen järkiinsä, netfilter-persistent vaatii erikseen käynnistämisen ja sen jälkeen on vielä Fail2baninkin käynnistettävä uudestaan käsin.

Noiden kanssa pystyn elämään, mutta Varnishin cachen nollautuminen on piikki persuuksissa - onhan siinä tietysti se hyvä puoli, että vähempikin RAM riittää, kun koko ajan ollaan buuttaamassa ;)

Muista ajan kun pingviinit vittuili win-maailmalle nimenomaan päivityksen vaatimista buuteista, mutta en minä ole koskaan joutunut mitään buuttaamaan niin usein kuin ubuntua  ::)

Eli. Onko joku tapa ymmärtää milloin reboot on ehdottoman välttämätöntä vai onko se aina?
Otsikko: Vs: *** System restart required ***
Kirjoitti: nm - 03.07.20 - klo:12.54
Päivitykset huutaa uudelleenkäynnistystä 3 - 7 päivän välein. Onko tuo aivan ehdoton vaatimus vai onko osa päivityksistä sellaisia, joista ei virtuaaliserverillä tarvitse piitata buutin suhteen?

Palvelimella vain kernelin päivitys vaatii uudelleenkäynnistyksen, mutta teknisesti se ei ole välttämätöntä vaan voit jatkaa nykyisen kernelin käyttöä niin pitkään kuin itse haluat ja katsot turvalliseksi.

Usein tietoturvapäivityksissä tulee muutoksia kirjastoihin, joita käynnissä olevat sovellukset ja prosessit käyttävät. Tästä ei sinänsä seuraa kehotusta uudelleenkäynnistykseen, ja ohjelmat jatkavat toimintaansa vanhoilla kirjastojen versioilla, jotka pysyvät menossa mukana niin kauan kun niihin viitataan. Tietoturvan kannalta olisi kuitenkin fiksua käynnistää prosessit uudelleen, jotta ne saavat käyttöönsä päivittyneet kirjastot. Voit tarkistaa debian-goodies-paketin checkrestart-työkalulla, mitkä prosessit parhaillaan käyttävät vanhoja kirjastoversioita, jotta voit itse käynnistää ne uudelleen: http://manpages.ubuntu.com/manpages/trusty/man1/checkrestart.1.html

Kernelin päivitysten osalta on lisäksi mahdollista ottaa käyttöön Livepatch-palvelu, jolla monet tietoturvakorjaukset saa käyttöön lennossa ilman järjestelmän uudelleenkäynnistystä: https://www.howtogeek.com/446140/how-to-use-canonicals-livepatch-service-on-ubuntu/


Muista ajan kun pingviinit  win-maailmalle nimenomaan päivityksen vaatimista buuteista, mutta en minä ole koskaan joutunut mitään buuttaamaan niin usein kuin ubuntua  ::)

Niin no se on oma valinta. Linuxissa uudelleenkäynnistyspyyntö on lähes poikkeuksetta kehotus eikä pakotettu vaatimus. :)
Otsikko: Vs: *** System restart required ***
Kirjoitti: Jagster - 06.07.20 - klo:10.50
Kiitos.

Tuo checkrestart auttoi hiukan, vaikka kyvyt tulkita syötettä ovatkin hiukan rajalliset.

Ollaan aika hankalassa tilanteessa kun käyttäjän on mietittävä koska kyseessä on sellainen päivitys, että täytyisi ehdottomasti buutata. Toki myös oletus on, että jos pyörität jotain serverin kaltaista, niin pitäisi myös tietää tavallista desktop-käyttäjää enemmän. Mutta löytyykö tuosta hieman syytä ja selitystä miksi maailmalla on niin paljon päivittämättömiä systeemejä?

Toisaalta - minulle tutummassa Wordpress-maailmassa päivittämättömyyden aito syy on kylläkin aina totaalisessa osaamattomuudessa ja siitä kumpuavassa piittaamattomuudessa. Joten jos appsissa yhden ilmoituksen klikkaaminen on ylivoimaisen hankalaa, niin sitten saattaa olla myös apt update && aptdist-upgrade && reboot  :P

Mutta nyt sain kiintopisteen lähteä penkomaan enemmän.
Otsikko: Vs: *** System restart required ***
Kirjoitti: nm - 06.07.20 - klo:13.24
Ollaan aika hankalassa tilanteessa kun käyttäjän on mietittävä koska kyseessä on sellainen päivitys, että täytyisi ehdottomasti buutata. Toki myös oletus on, että jos pyörität jotain serverin kaltaista, niin pitäisi myös tietää tavallista desktop-käyttäjää enemmän.

Jep, tämä koskee oikeastaan mitä tahansa palvelinympäristöä. Kun tietoturva on palvelun kannalta olennaista, ylläpitäjän on hyvä olla edes yleistasolla tietoinen, mitä päivityksissä tapahtuu.

Mutta löytyykö tuosta hieman syytä ja selitystä miksi maailmalla on niin paljon päivittämättömiä systeemejä?

Pelkästään päivitysten asentaminen vaatii käsityötä riippumatta siitä, tarvitseeko järjestestelmää käynnistää uudelleen vai ei.

Vähänkään laajempien palvelinohjelmistojen päivittäminen testauksineen on muutenkin aika työlästä, kun on selvitettävä etu- ja jälkikäteen, mikä tuhansista riippuvuuksista mahdollisesti hajoaa. Siinä LTS-jakelun päivitykset mahdollisine uudelleenkäynnistyksineen ovat aika pieni pisara meressä. Ainakin itse rajoitan tuotantoympäristöjen päivitykset kertaan kuukaudessa tai harvemmin, ellei jossain komponentissa ilmene palveluun vaikuttavia kriittisiä haavoittuvuuksia.