Обновить Php 5.4 до 5.6? Обновить Debian с 7 до 8?
Моя операционная система - Debian 7.9.
Мой выделенный сервер содержит только веб-сайт на PHP (видимо, 5.4) и некоторые базы данных (MySQL). Есть также такие программы, как iptables, fail2banи т. д. настроить.
Недавно я сделал обновление и увидел предупреждение об устаревании PHP 5.4 (да, я опоздал) и о том, что мне нужно будет обновить до 5.6 и в конечном итоге обновить с Debian 7.x до 8.x.
Моя проблема:
Я не заставлял PHP-код работать на моем веб-сайте, поэтому мне интересно, следует ли мне следовать простому руководству о том, как обновить PHP 5.4 до 5.6, разумно ли (чтобы исправить проблемы с безопасностью) или оно сломает мой сайт?,
Они даже предлагают обновить до Debian 8, но я чувствую, что это вызовет больше проблем, чем что-либо еще, и у меня не так много времени, чтобы исправить все новые проблемы, которые возникнут (и мне нужен мой веб-сайт онлайн).
Что я должен делать? Каковы ваши советы, пожалуйста?
2 ответа
Вот что говорится в сообщении в DSA-3380:
Примечание для пользователей старого стабильного дистрибутива (wheezy): PHP 5.4 достиг конца срока службы 14 сентября 2015 года. В результате больше не будет новых выпусков апстрима. Поддержка безопасности PHP 5.4 в старой стабильной версии Debian (wheezy) будет наилучшей, и вам настоятельно рекомендуется перейти на последнюю стабильную версию Debian (jessie), которая включает PHP 5.6.
Команда безопасности Debian обеспечивает защиту всей вашей системы (насколько это возможно с помощью PHP), предоставляя бэкпорт последних исправлений безопасности и сводя к минимуму несовместимости. Теперь нет никаких официальных патчей безопасности от PHP upstream. Поэтому команде безопасности Debian теперь необходимо адаптировать обновления безопасности для более высоких версий PHP обратно к PHP 5.4. Это, вероятно, занимает дополнительное время или может быть неосуществимым вообще.
Поэтому они рекомендуют вам обновить до Debian "Jessie" 8 (который является текущим stable) так скоро, как возможно. Debian "Wheezy" 7 есть oldstable и все еще должен быть поддержан командой безопасности. Но обычно поддержка службы безопасности заканчивается через год после stable выпуск Поскольку Debian "Jessie" 8 был выпущен в 2015-04-25, обычный год поддержки может закончиться через два месяца.
После этого должен быть дополнительный период поддержки долгосрочной поддержки (LTS), в течение которого другая группа пытается поддержать это распределение в течение другого периода времени. Согласно вики-странице LTS, команда LTS уже взяла на себя поддержку безопасности Debian "Wheezy" 7 и будет поддерживать ее до мая 2018 года.
Таким образом, чтобы получить выгоду от обслуживания Debian для обеспечения безопасности всей вашей системы, вам, вероятно, следует как можно скорее перейти на Debian "Jessie" 8. Самостоятельное обеспечение безопасности программного обеспечения требует гораздо больше времени, чем обновление системы каждые несколько лет, по крайней мере, по моему опыту.
aef великолепен, но я хотел бы также aef о двух других вещах, о которых вы спрашивали.
Процесс обновления Debian довольно прост и безопасен. С настройкой и инструментами, которые вы описываете, я сомневаюсь, что у вас возникнут какие-либо проблемы, если только ваш PHP-код не имеет несовместимости с 5.6. Вы можете найти официальные инструкции по обновлению Debian для Wheezy до Jessie здесь.
Что касается PHP, то от 5,4 до 5,5 и от 5,4 до 5,6 довольно безопасны. Вот основные несовместимости, которые могут повлиять на типичных пользователей:
json_decode()метод немного более строгий и больше не допускает строчные буквыtrue,false, а такжеnull, Но это будет нарушением спецификации JSON, поэтому, пока ваши API-интерфейсы JSON совместимы, это будет хорошо.Mcryptмодуль теперь требует действительных ключей и векторов инициализации.pack()а такжеunpack()было несколько небольших изменений, которые будут несовместимы с некоторым кодом, который его использует.php://inputтеперь можно использовать повторно.
Это на самом деле основные моменты, и они не влияют на многих людей. Полный список здесь и здесь.