把生产服务器干烂了

xiaozhu3172024-07-25 09:550

-原由:服务器的 SSH 需要升级,因为发现了一些 SSH 漏洞

-过程:我使用的别人整理好的 rpm 文件,确实在测试服务器中升级成功了,但是在正式服务器中升级失败。可能是服务器的 glibc 版本太低,可能导致新版本 SSH 升级失败。(可能有人会问,为什么不自己编译,我在测试服务器自行编译成功升级了,使用 rpm 文件也成功升级了,于是就优先使用的 rpm 文件)

-结果:升级失败后,SSH Session 直接断连,远程连接不上,只好联系服务器供应商。

-庆幸:这个服务器没有在部署的应用,都停掉了,这是唯一庆幸的一点。

-总结: 1.遇到 SSH 升级问题,联系供应商,不要自己尝试,就算自己尝试,提前在供应商那备份快照。 2.确实需要慎重操作服务器。涉及升级软件的操作,一定多测试测试,多准备几个测试环境。 3.工作的时候难免有急躁的时刻,这个时候才是真容易犯错。 4.欢迎各位 V 友指导

最新回复 (24)
  • tool2dx4月前
    引用2
    可以临时开一个 dropbear 端口来应急,反正 ssh 又不止一个 openssh 。
  • lstz4月前
    引用3
    18 年我遇到过 glibc 升级的坑,万幸没有数据丢失,只是 centos 会有一丢丢不正常而已
  • supuwoerc4月前
    引用4
    刺激
  • julyclyde4月前
    引用5
    (可能有 sb 会问)
  • julyclyde4月前
    引用6
    你这个总结其实没啥用
    没抓住本质,你的结论就是把事情推给别的(可能也不靠谱,甚至还不如你)人去做
  • uiosun4月前
    引用7
    @lstz 所以是不是该常升级 glibc ?
  • xiaozhu317楼主4月前
    引用8
    @julyclyde 哈哈哈哈,最主要的原因还是我太菜了~
  • xiaozhu317楼主4月前
    引用9
    @tool2dx 现在我们这边连不上了,他们那边在处理中哈哈,希望能处理好
  • julyclyde4月前
    引用10
    @xiaozhu317 我盲猜一下
    你的 rpm 并不兼容你这个操作系统版本,而是针对另一个操作系统版本的
    你装的时候也应该有依赖关系不对的情况,然后你--nodeps 强桩进去了
  • xiaozhu317楼主4月前
    引用11
    @supuwoerc 吓坏了
  • xiaozhu317楼主4月前
    引用12
    @lstz 哈哈,我也是万幸,正好没有什么应用在跑
  • xiaozhu317楼主4月前
    引用13
    @julyclyde 牛,你猜对了,我确实是这样操作的。在测试环境中我编译是升级成功的,rpm 也是可以升级成功的,我图省事就直接选择用 rpm 了,然后直接--nodeps ,就麻烦了。只能说我还是水平不够
  • kinkin6664月前
    引用14
    简单点,下次直接先刻一台升升看
  • julyclyde4月前
    引用15
    @xiaozhu317 不是我牛;你这属于“错的很标准”

    很多软件都和 glibc 、openssl 这几个基础组件有明确版本的依赖关系; glibc 本身应该是有几个小版本的适配宽度; openssl 是 1.0 、1.1 两个系列内部各自兼容,但是 openssl1.0 和 1.1 应该是不兼容的,它家的版本号定义和通常风格不一样

    操作系统的大版本升级,这几个基础组件一般都会发生升级(然后才有能力支持更新的其它软件)
  • DonaldErvinKnuth4月前
    引用16
    我也遇到过一次,也是因为 centos6.7 的太老,只支持 rsa ,不能用更高的,就想的升级,结果升级失败,连不上了。还好有一个连接没断,又查资料退回来了,吓死了。
  • xjzshttps4月前
    引用17
    不是运维,
    可以请教一个问题吗?安全问题升级 ssh 为什么需要自己找包?
    操作系统没有提供安全更新补丁吗?
    我一般用的 ubuntu ,sudo apt-get update && sudo apt-get upgrade -y 就完事,其它系统也有自己的包管理提供安全补丁吧?
  • xiaozhu317楼主4月前
    引用18
    @xjzshttps 操作系统版本太老了
  • xiaozhu317楼主4月前
    引用19
    @DonaldErvinKnuth 咱俩的版本甚至一致哈哈
  • xiaozhu317楼主4月前
    引用20
    @julyclyde 受教了受教了老哥
  • 6765294834月前
    引用21
    以前搞 nfs 备份时,mv 了一半,手贱 ctrl+c 了,重启就文件系统报错了,联系了云服务商也解决不了,大数据训练的模型丢了。。。
    以后每次搞生产服务器,就只敢先快照了
  • Ipsum4月前
    引用22
    自己装的服务器?按道理应该有 ipmi 的,让机房开个 vpn 去救呀。
  • defunct94月前
    引用23
    ssh 升级要做好失败得准备,得准备好 telnet 得第二条路。
  • lhsakudsgdsik4月前
    引用24
    我这边也是刚完成七八个项目的 openssh 升级,操作系统版本有 ubuntu22.04 和 centos7 ,ubuntu 的是有出官方修复版本 8.9p1-3ubuntu0.10 的,不过好多扫描软件扫描不出来必须手动编译到 9.8.p1 版本,centos 的麻烦些还是离线的,并且 zlib 和 openssl 版本太老了,都要单独升级,总体都是比较顺利的,都装了 telnet ,不过也没用上
  • dapang12214月前
    引用25
    ssh 升级可以用 vnc 或 kvm 连服务器,不要用着 ssh 再升 ssh
    glibc 能不动就不动,系统组件依赖太多,建议直接开新机器,平滑的迁业务
  • 回复请 登录 or 快速注册
返回