EC2インスタンスのカーネルパッケージをアップグレードする必要がありますか?
EC2サーバーでSudo apt-get update && Sudo apt-get upgradeを実行すると、次のように表示されます。
The following packages have been kept back:
linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual
これらのパッケージを強制的にアップグレードするには、Sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualを実行する必要がありますか?
簡単な答えは、はい、セキュリティパッチに関してシステムを最新の状態に保つ必要があります。
セキュリティパッチをどの程度正確に展開するかは、リスクに対する許容度によって異なります。過去にこの質問に答えるために使用したいくつかのオプションは次のとおりです。
実稼働環境を模倣する一連のQAシステムにアップグレードを適用し、すべてのリグレッションテストを実行して、変更によって機能が損なわれたり、パフォーマンスの問題が発生しないことを確認します。満足したら、アップグレードを実稼働システムに展開します。
1日待って、更新プログラムによって引き起こされた問題について一般からの抗議があるかどうかを確認します。すべてが平和に思える場合は、運用システムをアップグレードします。
すべてのセキュリティパッチが利用可能になり次第、運用システムに適用してください。
私はUbuntuを使用してこれらの3つのアプローチすべてを組み合わせて使用し、長年にわたってオプション3に徐々に移行しました。セキュリティパッチはリリース前に厳しくテストされており、既存の機能を破壊しないように細心の注意を払っています。 Ubuntuでサポートされているイメージ内でのアップグレードに問題はありませんでした(EC2上のUbuntuでUbuntu以外のカーネルを使用していたときに問題が発生したことがあります)。
カーネルをアップグレードすると、変更を適用するために再起動が必要になることに注意してください。
上記の経験と推奨事項は、Ubuntuリリース(11.04など)のアップグレード内にのみ適用されます。 newへのアップグレードUbuntuリリースははるかに大きくリスクの高いタスクであり、実稼働システムにロールアウトする前に必ずテストする必要があります。
以下に、RightScaleが発行したばかりの環境でのセキュリティアップグレードの管理方法に関するこのトピックに関する記事を示します。
http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/