Linux Minimal如何更新补丁

Linux Minimal更新补丁实操指南

一、识别系统与准备

• 确认发行版与版本：执行cat /etc/os-release，记录如Ubuntu 22.04、CentOS 7、RHEL 8/9、Fedora、Debian、openSUSE、Arch等，以便选择对应包管理器。
• 基础检查与准备：
  • 网络连通：ping -c 4 8.8.8.8
  • 磁盘空间：df -h（建议保留**≥20%**余量）
  • 备份关键数据与配置（数据库、应用配置、证书等）
  • 如为云主机，建议先创建快照/备份以便回滚
  • 生产环境先在测试环境验证更新影响，再推广
    以上步骤有助于在最小化系统上安全、可控地执行补丁更新。

二、按发行版执行更新

• 通用流程：先刷新索引，再升级，最后清理缓存；遇到依赖变化用“完整升级”处理；必要时重启以生效。

• 说明：
  • Minimal 版本通常已自带上述包管理器；如未安装，请先apt/yum/dnf/zypper/pacman安装对应工具。
  • 内核或核心组件更新后，需重启系统或服务以生效。
    以上命令覆盖主流发行版的最小化系统补丁更新路径。

三、仅安装安全补丁与自动更新

• Debian/Ubuntu：
  • 仅安全更新：sudo apt install --only-upgrade $(apt list --upgradable 2>/dev/null | grep -i security | cut -d'/' -f1)
  • 自动安全更新：
    • 安装：sudo apt install unattended-upgrades
    • 配置：sudo dpkg-reconfigure unattended-upgrades，并在/etc/apt/apt.conf.d/50unattended-upgrades确保包含：
      • Unattended-Upgrade::Allowed-Origins { "${distro_id}:${distro_codename}-security"; };
• CentOS 7 / RHEL 7：
  • 仅安全更新：sudo yum update --security -y
  • 自动安全更新：
    • 安装：sudo yum install yum-cron -y
    • 启用：编辑/etc/yum/yum-cron.conf，设置update_cmd = security、apply_updates = yes，然后systemctl enable --now yum-cron
• RHEL 8+ / Fedora：
  • 仅安全更新：sudo dnf update --security -y
  • 自动安全更新：启用并配置dnf-automatic（默认策略或按需定制）
    以上做法可在不影响业务的前提下，优先、及时地应用安全补丁。

四、更新后的验证与回滚

• 是否需要重启：
  • 查看内核版本：uname -r；若更新前后不一致且业务允许，执行reboot。
  • 如为内核更新且需免重启，可考虑：
    • Ubuntu：Canonical Livepatch（需Token）
    • RHEL：kpatch
    • openSUSE：Kgraft
• 服务与状态检查：
  • 失败单元：systemctl --failed
  • 关键服务：systemctl status nginx mysql postgresql（按实际替换）
  • 日志：journalctl -xe 或查看/var/log/syslog
• 回滚与应急：
  • 包级回滚：
    • APT：sudo apt install <pkg>=<version> 或使用apt-mark hold <pkg>阻止升级
    • YUM/DNF：sudo dnf history undo <transaction-id> 或 sudo yum history undo <id>
  • 镜像回滚：如为云主机，使用快照/备份快速恢复
• 变更记录：记录时间、包名、变更内容，便于审计与故障排查。
  以上步骤确保补丁应用的有效性与可回退性。