Я получу критические обновления системы защиты, если я заблокирую конфетку CentOS к определенной repo версии?
Вы смешиваете два различных различия здесь:
- Между реальными и эффективными идентификаторами группы
- Между группами основных и дополнительных пользователей
Первое различие относится к тому, как выполняются процессы. Обычно при выполнении команды/программы она выполняется с полномочиями пользователя. Это имеет реальный идентификатор группы то же как основная группа Вашего пользователя. Это может быть изменено процессом для выполнения некоторых задач как член другой специальной группы. Чтобы сделать это, программы используют setgid функция, которая изменяет их эффективный идентификатор группы.
Второе различие относится к пользователям. У каждого пользователя есть его основная группа. Существует только один на пользователя и упоминается как ценуроз в выводе id команда. Кроме этого, каждый пользователь может принадлежать многим дополнительным группам - и они перечислены в конце id вывод.
[Редактирование]:
Я соглашаюсь что страница справочника для id является несколько вводящим в заблуждение здесь. Это, вероятно, потому что это - упрощенная версия описания, предоставленного информационным документом. Для наблюдения его более ясно работать info coreutils "id invocation" (как предложено в конце id руководство).
Да, вы правы: фиксация себя на конкретном разблокировочном устройстве CentOS подвергает вас риску будущих дефектов безопасности, не позволяя вам получить исправления.
Как и в RHEL, CentOS point release не является "версией" в том же смысле, как это используется большинством других программ. Вы никогда не увидите CentOS 6.4.1, например. Все "4" означает здесь, что это четвертый скачок всех обновлений, сделанных на сегодняшний день.
Это означает, что разница между 6.4 и состоянием CentOS 6.3 за день до выхода 6.4 очень мала, если бы вы только что сказали yum update. Аналогично, если у вас есть система, на которой установлено CentOS 6.4, включая все последние обновления, сделанные до выхода CentOS 6.5, то сделайте последнее неограниченное ручное обновление yum апдейт, чтобы попасть на CentOS 6.5, то разница также будет очень незначительной.
По правде говоря, вы используете CentOS версии 6, точка.
Вам может понадобиться только сказать Ням не обновлять ядро. Вот как Xen конфигурируется на CentOS 6 VPS, который мы арендуем здесь, и который поддерживается в актуальном состоянии. (CentOS 6.6, на момент написания этой статьи.)
Даже в этом может не быть реальной необходимости, так как в настоящее время поддержка Xen встроена в ядро Linux. Документ Citrix, на который вы ссылаетесь, может просто устареть или отстать от формального процесса тестирования.
В отличие от этого, ВМ, основанные на OpenVZ (конкурент Xen), должны поддерживать определенную версию ядра, так как она была исправлена, чтобы соответствовать ядру хостовой операционной системы. На другом VPS на базе OpenVZ, который мы арендуем здесь, я могу сказать, что наш хостинг-провайдер запускает CentOS 5 на хосте по версии ядра. (2.6.18, а не 2.6.32.)
.