質問
お疲れ様です。
弊社では、半数以上のサーバーがRHELです。
ただ、WindowsUpdate(MicrosoftUpdate)ほどは、エラータの適用はしていません。
弊社の場合、OS部分はRHELを採用していますが、実際Aapche、OpenSSLやOpenSSH等のミドルウェアは自社でソースからコンパイルしており、カーネルも脆弱性があった場合自社でカーネルソースからカーネルをコンパイルして利用している背景があり、エラータの必然性をそこまで感じていないというのもあります。
(自社でコンパイルしたものは、RHELのサポート対象外です...)
弊社からE/Uに提供する場合は、エラータの適用を4段階の区分で分けて適用の必然性可否を判断していただいています。
・緊急的脆弱性対策パッチ
・カーネル部分・OpenSSL等の共通ソフトの障害・脆弱性
・ミドルウェア(利用しているもの)の障害・脆弱性
・その他(利用していないソフト)の障害。脆弱性
上にいくほど緊急性や対象範囲が広いで、適用をお願いしています。
ミドルウェアに関しては、基本的に適用して問題ないですが、
業務に影響が心配される場合には、テストを実施していただくことを勧めています。
その他に関しては原則適用しないでいただいております。
適用することで、必要のないソフトがインストールされることを防ぐためです。
エラータは、パッチというよりもアップデートされたソフトウェアですから、むやみに適用すると、動作が異なるケースや、rpmでインストール後カスタマイズをしていると、再設定が発生するケースが時々ありますので、アプリケーションに近いエリアのものに関しては、やはり適用前にテストをすることがベストであると思います。
RHEL3の頃ですが、カスタムで必要最小限にインストール後、出てきたエラーターをすべて適用したら、ただのメールサーバーで最小限のインストールだったのに、OpenOfficeやgimpがはいって立派なデスクトップ機になってしまいました。
今のRHELのエラータは既存でインストールされたRPMを見て判断しているようですからこんなことはないと思いますが。。。
質問
お世話になります。
グループウェア用のWebサーバとして、Red Hat Enterprise Linux 5.5 Serverを使っています。
RHNにログインしたところ、適用していないエラータが大量にありました。
これらのエラータは、全て適用しておくべきなのでしょうか?
更新を適用するためにサーバの再起動が必要になると稼動中のサービスを止めることになりますし、エラータの適用によって何かトラブルが発生したりしないかと心配です。
RHELを管理されている皆さんは、エラータの適用をどのようにされていますか?
教えていただけると助かります。よろしくお願い致します。