Czy bezpieczne jest uruchamianie aktualizacji apt-get każdej nocy?

Czy uruchomienie apt-get update -yserwera cron na serwerze produkcyjnym jest bezpieczne ?

Może być bezpieczny - a dokładniej poziom ryzyka może mieścić się w zakresie komfortu. Poziom dopuszczalnego ryzyka będzie zależeć od kilku czynników.

Czy masz dobry system tworzenia kopii zapasowych, który pozwoli ci szybko przywrócić dane, jeśli coś się zepsuje?

Czy przekierowujesz serwer, wylogowuje się do systemu zdalnego, aby jeśli skrzynka upadła, nadal będziesz wiedział, co się stało?

Czy chcesz zaakceptować możliwość, że coś może się zepsuć, a jeśli coś zawiedzie, może być konieczne szybkie przywrócenie / przywrócenie systemu?

Czy ręcznie skompilowałeś coś samodzielnie, czy absolutnie wszystko zainstalowane w twoim systemie pochodzi z oficjalnych repozytoriów? Jeśli zainstalowałeś coś lokalnie, istnieje szansa, że ​​wstępna zmiana może uszkodzić lokalne utrzymywane / zainstalowane oprogramowanie.

Jaka jest rola tego systemu? Czy jest to coś, czego prawie nie umknęłoby, gdyby zmarł (np. Dodatkowy serwer DNS), czy też jest to podstawowy element infrastruktury (np. Serwer LDAP lub główny serwer plików).

Czy chcesz to skonfigurować, ponieważ nikt odpowiedzialny za serwer nie ma czasu na utrzymanie poprawek bezpieczeństwa? Potencjalne ryzyko narażenia na szwank przez niełatwą lukę może być wyższe niż ryzyko złej aktualizacji.

Jeśli naprawdę uważasz, że chcesz to zrobić, sugeruję skorzystanie z jednego z narzędzi, które już tam są, w tym celu cron-apt. Mają pewną logikę, aby być bezpieczniejszym niż tylko roleta apt-get -y update.

Tak, o ile mówisz o aktualizacji, a nie o aktualizacji . Apt zrobi to nawet za Ciebie, jeśli umieścisz wiersz:

APT::Periodic::Update-Package-Lists "1";

w pliku pod /etc/apt/apt.conf.d/

Jest ogólnie bezpieczny, ale nie poleciłbym go z prostego powodu:

• Tracisz znany stan.

W środowisku produkcyjnym musisz dokładnie wiedzieć, co się na nim znajduje lub co powinno na nim być, i być w stanie z łatwością odtworzyć ten stan.

Wszelkie zmiany powinny być wprowadzane w procesie zarządzania zmianami, w którym firma jest w pełni świadoma tego, w co się pakuje, aby mogli później przeanalizować, co poszło nie tak i tak dalej.

Nocne aktualizacje sprawiają, że tego rodzaju analiza jest niemożliwa lub trudniejsza.

Mogę to zrobić na stabilnym lub Ubuntu, ale nie na niestabilnej gałęzi, a nawet na gałęzi testującej.

Chociaż, kiedy zakładam czapkę sysadmin, uważam, że powinienem ręcznie stosować wszystkie aktualizacje, aby zachować spójność między serwerami - a także, że jeśli pewnego dnia zepsuje się usługa, wiem, kiedy ją ostatnio zaktualizowałem usługa. Tego mogę nie sprawdzić, czy aktualizacje przebiegają automatycznie.

Używamy stabilnej i zaplanowanej aktualizacji apt-get na wtorek wieczorem na większości naszych systemów Debian (zbiega się to z naszymi aktualizacjami Microsoft „wtorek łatek”). Działa dobrze. Mamy również wszystkie zdarzenia aktualizacji zarejestrowane w Nagios, dzięki czemu możemy zobaczyć historię, kiedy aktualizacje były ostatnio wykonywane na dowolnym serwerze.

Kiedy podasz, że jest to serwer „produkcyjny”, czy to oznacza, że ​​istnieją również serwery programistyczne i testowe? Jeśli tak, łatki powinny zostać przetestowane w tych systemach przed zainstalowaniem na pudełku produkcyjnym.

Nie zrobiłbym tego Zdarzają się złe łatki i nie chciałbym, żeby system zawodził w środku nocy lub gdy byłbym niedostępny. Powinny zostać wypchnięte w oknie konserwacji, gdy administrator jest dostępny do monitorowania aktualizacji.

Pamiętam, że robiłem to w poprzedniej pracy; Skończyły się problemy na serwerze produkcyjnym, ponieważ aktualizacja automatycznie przepisała plik konfiguracyjny.

Dlatego radzę nadzorować aktualizacje.

Jeśli alternatywą jest nieregularne stosowanie aktualizacji, nie śledzisz aktywnie aktualizacji zabezpieczeń i używasz stabilnego waniliowego Lenny'ego, to automatyczne aktualizowanie prawdopodobnie zwiększy bezpieczeństwo twojego komputera, ponieważ szybciej zaktualizujesz znane luki bezpieczeństwa.

Ubuntu Server ma pakiet, który pozwoli mu na automatyczną aktualizację aktualizacji bezpieczeństwa. Pozwala również na umieszczenie na czarnej liście niektórych aplikacji. Mówi także o apticronie, który wyśle ​​Ci wiadomość e-mail, gdy będą dostępne aktualizacje dla Twojego serwera.

Możesz dowiedzieć się więcej na ten temat na kolejnych stronach, w zależności od używanej wersji Ubuntu Server.

• 8.10
• 9.04
• 9.10

EDYCJA: Zakładając, że używasz Ubuntu. Chociaż założę się, te same pakiety i rozwiązanie jest dostępne w Debianie.

Spójrz na cron-apt. Domyślnie pobiera tylko listy i pliki pakietów, ale można je dostroić, aby wysyłać wiadomości e-mail, a nawet aktualizować system.

To zależy od twojej infrastruktury. Jeśli mam pojedynczy komputer, zwykle przeglądam aktualizacje i widzę, czego potrzebuję lub czego mogę uniknąć. Jeśli korzystam z klastra, czasami wdrażam zmiany na jednym komputerze i sprawdzam, jak idą, a następnie wdrażam je na innych komputerach, jeśli wszystko wydaje się w porządku.

Aktualizacje baz danych Zawsze mam na oku.

Jeśli masz system plików obsługujący migawki, może być bardzo przydatny do wykonania migawki systemu, zastosowania aktualizacji, a następnie masz możliwość wycofania zmian, jeśli coś pójdzie nie tak.

Spróbuj dowiedzieć się, dlaczego pakiet jest aktualizowany? czy to naprawia błąd? poprawka bezpieczeństwa? czy jest to polecenie lokalne czy zdalna usługa sieciowa ?. Czy oprogramowanie zostało przetestowane pod kątem nowych aktualizacji?

Do aktualizacji jądra należy podchodzić z większą ostrożnością. Spróbuj dowiedzieć się, dlaczego jądro jest aktualizowane? Czy naprawdę potrzebujesz tych zmian? wpłynie na twoją aplikację. Czy muszę to zastosować ze względów bezpieczeństwa?

9 razy na 10 aktualizacji oprogramowania przejdzie bezproblemowo, ale w tych rzadkich przypadkach maszyna pozostawia kupę śmieci, ma plan wycofania lub odzyskiwania systemu.