Atualize o servidor de produção herdado

Recentemente, assumi o desenvolvimento e a manutenção do servidor de um site hospedado em uma instalação do Debian VPS. Eu percebo agora que o servidor não foi atualizado em anos. Há atualizações para Nginx, Postgresql, libxml e cerca de 20 outros pacotes, alguns dos quais são críticos para manter o site em execução e alguns que eu não tenho certeza se eles são necessários ou não.

Eu percebo que esses pacotes que não são atualizados podem representar um risco de segurança significativo. Sendo inexperiente na manutenção do servidor, no entanto, não tenho certeza sobre como proceder para atualizar os pacotes de maneira segura. Se algo der errado, precisarei reverter até encontrar uma correção para manter o site on-line. Correr apt-get upgradeparece um grande risco em si mesmo.

Você tem alguma dica que possa ser útil em uma situação como essa? O que você faria? Existe uma maneira de 'controle de versão' dos pacotes? Você os atualizaria um por um?

Felicidades.

As pessoas do Debian fazem um enorme esforço para garantir a consistência dos pacotes fornecidos através de seus repositórios. Este é o ponto inteiro em ter uma versão chamada estável . Então, na medida em que você está interessado em pacotes distribuídos por repo, você não tem nada a temer. Se você deseja saber mais, e buscar mais tranquilidade, você pode querer ler esta popular palestra dada pelo ex-líder do Projeto Debian, Stefano Zacchiroli. Não desanime com o título em italiano, o resto da conversa é em inglês.

No entanto, pode haver algum motivo de preocupação em relação a qualquer software não repo instalado em sua máquina, porque obviamente não há garantia de que você pode encontrar uma versão em execução com o novo kernel e as novas lib's. Os locais habituais onde o software personalizado está instalado são

  /opt, /usr/local, /usr/share

Você também pode verificar novamente os pacotes debian instalados por meio de

  dpkg -l | more

Observe que alguns softwares personalizados podem ser instalados através de um pacote Debian, mas nem todos os softwares personalizados precisam ser instalados dessa maneira.

Vou te dar duas respostas ao preço de uma.

1. Se você tiver acesso ao hipervisor, o vps será executado e poderá tirar uma foto antes de atualizar o sistema. Então, simplesmente atualize a máquina e esteja preparado para reverter o instantâneo, se você se enganar.

2. Você deve sempre ter um plano de desastre para máquinas importantes. Os discos falham - e às vezes as partes confiáveis ​​não são ... Eu configurei uma nova máquina e documente exatamente como ela foi feita. Dessa forma, você pode testar facilmente as alterações sem arriscar a produção e sempre terá um caso de recuperação, caso o ambiente de produção seja destruído.