업데이트와 패치

보안을 위해 권고하는 사항중 하나는 보안 패치와 업데이트를 수시로 해주라는 것입니다.

하지만 실제 운영 환경에서 이것은 쉬운 일이 아니며 특히 보안 패치는 관리자들이 매우 꺼려하며 이는 패치를 설치하면 잘 도는 서비스가 중지하는 등의 불확실성이 발생할지 모른다는 우려때문입니다.

사실 보안 패치도 SW 이므로 버그가 있을 수 있으며 패치는 시급하게 나오는 경우가 많으므로 일반적인 변경보다 꼼꼼히 테스트하기 어렵기 때문에 문제가 발생할 수 있으므로 이는 지극히 타당한 지적입니다.

특히 커널 패치의 경우 시스템을 재구동해야 효과가 발생하며 glibc 같은 시스템 라이브러리나 openssl 같은 핵심 라이브러러는 서비스 데몬을 재구동해야 하는 불편함도 있습니다.

보안 패치를 설치할 때 특히 중요한 프로세스는 여러 대의 장비가 있을 경우 패치와 재시작등 일련을 작업을 특정 장비에서 진행하고 결과를 확인한 후에 다른 장비를 대상으로 해야 한다는 것입니다.

동시에 모든 시스템에 패치 설치와 재시작 작업을 할 경우 혹시 패치내에 버그가 있을 경우 곤란해 지므로 꼭 패치를 설치할 장비를 선정해서 진행하고 이를 다른 장비와 비교해서 추적/관리해야 합니다.

이번 장에서는 패치로 인해 문제가 발생할 경우 이를 예전의 환경으로 되돌릴 수 있는 yum 패키지 관리자의 고급 기능인 트랜잭션/롤백 기능과 패치 설치 시간을 단축할 수 있도록 yum-cron 으로 정해진 시간에 패치를 미리 다운로드 받는 방법에 대해서 알아봅시다.