我应该升级EC2实例上的内核包吗？

Question

在我的EC2服务器上，当我执行sudo apt-get update && sudo apt-get upgrade时，我看到：

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

我应该继续使用sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual来强制升级这些软件包吗？

Answer 1

简单地说，是的，您应该保持您的系统在安全补丁方面的最新信息。

您究竟如何推出安全补丁取决于您对风险的容忍度。以下是我过去用来回答这个问题的一些选择：

1. 将升级应用于一组模拟生产环境并运行所有回归测试的QA系统，以确保这些更改不会破坏任何功能或导致性能问题。一旦您满意，推出升级到您的生产系统。
2. 等一天，看看公众是否对更新引起的问题大声疾呼。如果一切看起来都很平静，那么升级你的生产系统。
3. 一旦生产系统可用，就立即应用它的每个安全修补程序。

我使用了使用Ubuntu的所有这三种方法的组合，并在过去几年中逐渐转向了选项3。在发布之前，安全补丁经过了大量的测试，并且非常注意不要破坏现有的功能。在Ubuntu支持的映像中，我从未遇到过升级问题(尽管几年前，当我在EC2上使用Ubuntu的非Ubuntu内核时，我确实遇到了一个问题)。

请注意，升级内核还需要重新启动才能应用更改。

上述经验和建议仅适用于Ubuntu发行版中的升级(例如，11.04)。升级到新的Ubuntu发行版是一项更大、更危险的任务，在将它推出到生产系统之前，肯定需要进行测试。

以下是RightScale刚刚发表的关于如何在其环境中管理安全升级的文章：

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/