生产环境下进行系统更新，会有那些影响呢？

[verycici]

系统更新可以解决系统的各种漏洞和bug，但是在生产环境下经常使用系统更新的话，会产生那些重要的影响呢。
不知道大家的生产环境是否经常进行apt-get update或者upgrade的更新操作啊？

[zhw2101024]

严肃的生产环境不会随意进行更新，并且生产主机一般都有专门用途，不影响业务和安全性的bug是不需要修复的。就算升级也只会升级单个软件，用apt-get upgrade的我只能在脑袋上写个大大的“服”字，然后远远躲开

[onlylove]

除非是安全性的bug比方说前些日子的openssl漏洞，才会考虑修复漏洞，不然生产环境的服务器是不会乱动的

[qgymib]

我们这儿生产环境是否需要更新都会有评估小组进行评估，看更新带来的收益能够值得上相应的风险。不过从最近来看，他们的信条就是：打死不更新。

[zhw2101024]

我们这儿生产环境是否需要更新都会有评估小组进行评估，看更新带来的收益能够值得上相应的风险。不过从最近来看，他们的信条就是：打死不更新。

不更新就不用冒风险，大家都省事，可谓皆大欢喜

[liuyug]

我们这儿生产环境是否需要更新都会有评估小组进行评估，看更新带来的收益能够值得上相应的风险。不过从最近来看，他们的信条就是：打死不更新。

不更新就不用冒风险，大家都省事，可谓皆大欢喜

不过如果因为不更新而出现系统问题，特别是安全方面的问题，那如何收场？？

所以生产环境应当用稳定版软件。

相对与 RHEL/CentOS，ubutun server 还是少用些的好

[onlylove]

我们这儿生产环境是否需要更新都会有评估小组进行评估，看更新带来的收益能够值得上相应的风险。不过从最近来看，他们的信条就是：打死不更新。

不更新就不用冒风险，大家都省事，可谓皆大欢喜

不过如果因为不更新而出现系统问题，特别是安全方面的问题，那如何收场？？

所以生产环境应当用稳定版软件。

相对与 RHEL/CentOS，ubutun server 还是少用些的好

真开玩笑，你看openssl的心血漏洞，有几个是完整更新系统的，大部分都是只更新openssl，再说了，有安全方面问题，有几个敢不更新的

[qgymib]

我们这儿生产环境是否需要更新都会有评估小组进行评估，看更新带来的收益能够值得上相应的风险。不过从最近来看，他们的信条就是：打死不更新。

不更新就不用冒风险，大家都省事，可谓皆大欢喜

不过如果因为不更新而出现系统问题，特别是安全方面的问题，那如何收场？？

所以生产环境应当用稳定版软件。

相对与 RHEL/CentOS，ubutun server 还是少用些的好

通常情况下生产环境与外网是隔离的，或完全隔离或通过防火墙/反向代理方式保护，所以拥有一个良好的架构方式能够允许你很淡定的“收场”。生产环境中软件更新的问题大多数应该都是“滞后”的吧。。。仅当出现问题时才进行更新。倘若本来没有出现问题，你更新了系统，nnd就出现问题了，这个责任可是你背负的。所以为了责任最小化

不更新就不用冒风险，大家都省事，可谓皆大欢喜

[liuyug]

我们这儿生产环境是否需要更新都会有评估小组进行评估，看更新带来的收益能够值得上相应的风险。不过从最近来看，他们的信条就是：打死不更新。

不更新就不用冒风险，大家都省事，可谓皆大欢喜

不过如果因为不更新而出现系统问题，特别是安全方面的问题，那如何收场？？

所以生产环境应当用稳定版软件。

相对与 RHEL/CentOS，ubutun server 还是少用些的好

通常情况下生产环境与外网是隔离的，或完全隔离或通过防火墙/反向代理方式保护，所以拥有一个良好的架构方式能够允许你很淡定的“收场”。生产环境中软件更新的问题大多数应该都是“滞后”的吧。。。仅当出现问题时才进行更新。倘若本来没有出现问题，你更新了系统，nnd就出现问题了，这个责任可是你背负的。所以为了责任最小化

不更新就不用冒风险，大家都省事，可谓皆大欢喜

仅当出现问题时才进行更新 --- 如何判断解决这个问题是由没更新软件引起的？
生产环境 --- 不仅仅指 internet ， intranet 上也会产生安全问题。外一那个不开眼的家伙在内部黑了你的服务器，你就惨了。

其实大家不更新补丁，是因为责任问题，但问题是如何产生的？

默认情况下，系统里的软件都是兼容的，没有冲突，这由OS厂商来负责，一般没有问题。

你安装了第三方，或自己编译的软件，这部分才容易出现问题。你为什么要装第三方软件？系统自带的没有吗？还是其他业务上原因。

如何避免问题？
1. 服务器上的软件要尽可能的少，不需要的就不安装，以后需要的补丁也会少
2. 测试。你在打补丁前，是否测试过？不测试你就在生产环境做？开发需要测试，运维也需要测试，而且比开发更需要。

[onlylove]

我们这儿生产环境是否需要更新都会有评估小组进行评估，看更新带来的收益能够值得上相应的风险。不过从最近来看，他们的信条就是：打死不更新。

不更新就不用冒风险，大家都省事，可谓皆大欢喜

不过如果因为不更新而出现系统问题，特别是安全方面的问题，那如何收场？？

所以生产环境应当用稳定版软件。

相对与 RHEL/CentOS，ubutun server 还是少用些的好

通常情况下生产环境与外网是隔离的，或完全隔离或通过防火墙/反向代理方式保护，所以拥有一个良好的架构方式能够允许你很淡定的“收场”。生产环境中软件更新的问题大多数应该都是“滞后”的吧。。。仅当出现问题时才进行更新。倘若本来没有出现问题，你更新了系统，nnd就出现问题了，这个责任可是你背负的。所以为了责任最小化

不更新就不用冒风险，大家都省事，可谓皆大欢喜

仅当出现问题时才进行更新 --- 如何判断解决这个问题是由没更新软件引起的？
生产环境 --- 不仅仅指 internet ， intranet 上也会产生安全问题。外一那个不开眼的家伙在内部黑了你的服务器，你就惨了。

其实大家不更新补丁，是因为责任问题，但问题是如何产生的？

默认情况下，系统里的软件都是兼容的，没有冲突，这由OS厂商来负责，一般没有问题。

你安装了第三方，或自己编译的软件，这部分才容易出现问题。你为什么要装第三方软件？系统自带的没有吗？还是其他业务上原因。

如何避免问题？
1. 服务器上的软件要尽可能的少，不需要的就不安装，以后需要的补丁也会少
2. 测试。你在打补丁前，是否测试过？不测试你就在生产环境做？开发需要测试，运维也需要测试，而且比开发更需要。

不要把编译想的那么不堪，有系统自带的包管理，谁愿意编译，编译都是没办法的事情
系统自带的包版本太旧，你的某个功能需要新版本，你编译不？
系统的编译参数不符合你的需要，你编译不？（举个栗子？比方说apache httpd的mpm，你用哪个？）

[qgymib]

万一那个不开眼的家伙在内部黑了你的服务器，你就惨了。

这种风险当然有了，但是和你怎么更新、何时更新没什么大关系。就算设置了10层验证，我拔你电源，该跪照样跪。

其实大家不更新补丁，是因为责任问题，但问题是如何产生的？

责任问询制度虽然是一个很好的制度，但是也是有负面影响的。纵然如此，当此制度在公司中应用的时候，应该不可能让某一些人处于制度外才对。

你安装了第三方，或自己编译的软件，这部分才容易出现问题。你为什么要装第三方软件？系统自带的没有吗？还是其他业务上原因。

我不清楚Oracle 数据库、EPR等是不是你说的“第三方”。如果是的话。。。开玩笑，你给找出个系统自带的
关于自己编译的软件。。。这相当容易出现问题啊~~~不过这里的“编译”在很多情况下需要改为“编写”，生产环境中很多东东都是独有的。这里的问题可以参见下面那一条答复

测试。你在打补丁前，是否测试过？不测试你就在生产环境做？开发需要测试，运维也需要测试，而且比开发更需要。

这句话是重点。我不知道这句话是不是在反驳我，但是我想问：谁会不作性能测试、压力测试等等乱七八糟让人崩溃的测试就把一个工作套件放到服务器上的？
既然已经通过了测试，说明这个工作套件是可以信任的、足够稳定的。而既然确认了工作套件是可靠的，你没事儿还更新它作甚，这不是白白增加风险么。你先前自己也说了呀，“生产环境应当用稳定版软件”。

[liuyug]

更新有风险，升级需谨慎。

降低风险，只做安全上的更新，不做大版本的升级，是不是这样？？