서버 업데이트 정책에 대해서

elflord의 이미지

리눅스, 윈도우즈를 막론하고 서버 재기동이 필요한 업데이트들이 자주 올라오고 있는 요즈음입니다. 하지만 업데이트를 하게되면 일단 서비스를 중지해야 하는데다가(클러스터라도 일시적 중단은 생기니) 간혹 발생하는 업데이트후의 버그문제도 있어서 그닥 달갑지만은 않습니다.

제 경우 인트라넷에서만 운영하는 서버의 경우 버그패치를 제외하고는 거의 무시합니다만 외부 공개 서비스가 있는 혹은 DMZ에 있는 서버들은 1달, 3달, 반년 등 차등해서 주기적으로 부분 혹은 풀 업데이트를 하고 있는데 서버를 운영, 관리하시는 다른 분들은 어떤 식으로 정책을 세우고 실행하고 계신지요?

red10won의 이미지

리눅스는 그냥 둡니다,,,잘돌아가는거 ,,업데이트 해서 일만들지 않죠,,

대신 스캐닝툴 업데이트 한후,,내부망에서 한번씩 돌려서,,취약한 버전있는지 찾아보는거죠

junilove의 이미지

바로 root로 권한상승되는 보안 취약점이 아니고서는, 업데이트 및 재부팅을 잘 안합니다.
그래서 보통, 서비스 들어가지전에, nmap, nessus등으로 스캔 돌려서, 취약한 데몬이나, 설정을 없에고 들어갑니다.
서비스에 필요한 패키지만 딱 설치해서 서비스하면, 보안권고문에 해당되지 않는것들도 많더군요.

monovision의 이미지

취약한 서비스가 외부에 오픈되어 있지 않다면 저는 가급적 하지 않는 편입니다.

굳이 업데이트를 해야 하는 이슈가 발생하면 서비스를 우회하여 서비스 다운타임없이 업데이트를 합니다.