Czy powinienem włączyć automatyczną aktualizację stabilnej wersji Debiana?

Zainstalowałem nowy serwer Linux Debian Lenny , który będzie serwerem LAMP i Subversion . Czy powinienem włączyć automatyczne aktualizacje?

Jeśli ją włączę, jestem pewien, że mam najnowsze poprawki bezpieczeństwa. Nie powinno to również uszkodzić mojego systemu, ponieważ stabilna wersja Debiana zapewnia tylko poprawki bezpieczeństwa. Jeśli zainstaluję je ręcznie, mogę być narażony na wysokie ryzyko bezpieczeństwa przez wiele dni i tygodni.

Pamiętaj, że nie jestem pełnoetatowym administratorem systemu, więc nie mam czasu na przeglądanie biuletynów bezpieczeństwa.

Co zwykle robisz ze swoimi serwerami? Jaka jest Twoja rada?

(Ostrzeżenia dotyczące automatycznych aktualizacji zostały już wypowiedziane przez poprzednie plakaty).

Biorąc pod uwagę osiągnięcia zespołu Debian Security w ciągu ostatnich kilku lat, uważam, że ryzyko zepsutych aktualizacji jest o wiele mniejsze niż korzyść z posiadania automatycznych aktualizacji w rzadko odwiedzanych systemach.

Debian Lenny jest dostarczany z uaktualnieniami nienadzorowanymi , które pochodzą z Ubuntu i jest uważany za rozwiązanie defacto dla nienadzorowanych uaktualnień Debiana od Lenny / 5.0.

Aby go uruchomić i uruchomić w systemie Debian, musisz zainstalować unattended-upgradespakiet.

Następnie dodaj te linie do /etc/apt/apt.conf:

APT :: Periodic :: Update-Package-Lists „1”;
APT :: Okresowe :: Unattended-Upgrade „1”;

(Uwaga: w Debian Squeeze / 6.0 nie ma /etc/apt/apt.conf. Preferowaną metodą jest użycie następującego polecenia, które utworzy powyższe wiersze w /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure -plow unattended-upgrade

Zadanie cron jest następnie uruchamiane co noc i sprawdza, czy istnieją aktualizacje zabezpieczeń, które należy zainstalować.

Działania monitorowane przez nienadzorowane aktualizacje mogą być monitorowane w /var/log/unattended-upgrades/. Zachowaj ostrożność, aby aby poprawki bezpieczeństwa jądra stały się aktywne, musisz ręcznie zrestartować serwer. Można to również zrobić automatycznie w trakcie planowanego (np. Miesięcznego) okna konserwacji.

Apt ma teraz własne zadanie cron /etc/cron.daily/apt, a dokumentacja znajduje się w samym pliku:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

Wystarczy zainstalować apticron i zmienić ustawienie EMAIL = w /etc/apticron/apticron.conf

Apticron sprawdzi najnowsze aktualizacje i je pobierze. NIE zainstaluje ich. Wyśle ci wiadomość z oczekującymi aktualizacjami.

Moja rada: tak, automatycznie otrzymuj aktualizacje zabezpieczeń. Miałem dedykowany serwer Debian około 4 lata temu, bez automatycznych aktualizacji. Wyjechałem na święta w okolicach Bożego Narodzenia, kiedy wypuszczono robaka, który wykorzystał znaną lukę w dystrybucji (nie pamiętam, która). Kiedy wróciłem z wakacji, mój serwer został zhakowany.

Dla mnie ryzyko uszkodzenia aplikacji jest bardzo niskie, znacznie niższe niż włamanie przez uruchomione wersje ze znanymi lukami.

Nigdy nie używam automatycznych aktualizacji. Lubię aktualizacje, które należy wykonać, gdy jestem w pobliżu, aby mieć czas na uporządkowanie rzeczy, jeśli pójdzie to nie tak. Jeśli nie chcesz zajmować się biuletynami zabezpieczeń, zdecyduj, jak długo nie musisz sprawdzać aktualizacji, i po prostu zdecyduj się na aktualizację co tydzień. Jest to tak proste, jak: „aktualizacja aptitude; aptitude dist-upgrade (lub aptitude safe-upgrade)”

Wolę poświęcić na to trochę czasu niż nagłe odejście mojego serwera pocztowego i nie automatyczne ponowne uruchamianie.

Zalecam, abyś skonfigurował apt, aby sprawdzał aktualizacje codziennie, ale aby powiadamiał cię tylko o ich dostępności i nie wykonywał ich dopóki nie będziesz w pobliżu. Zawsze istnieje szansa, że aktualizacja apt-get coś zepsuje lub wymagać będzie pewnej uwagi ze strony użytkownika.

apticron jest dobrym pakietem, aby to dla Ciebie zrobić, lub możesz po prostu wykonać zadanie crona, które wykonuje coś takiego:

apt-get update -qq; apt-get upgrade -duyq

Polecam aktualizację za każdym razem, gdy zobaczysz coś o wysokim priorytecie lub wyższym - ale nie chcę też czekać, aż będzie 30 lub 40 aktualizacji do wykonania - ponieważ wtedy coś się psuje, trudniej jest zawęzić dokładnie to, który pakiet zepsuł twój system.

Ponadto, w zależności od pakietów uruchomionych na serwerze LAMP, możesz chcieć dodać repozytoria volitile i / lub dotdeb debian do listy repozytoriów, ponieważ przechowują one znacznie więcej na temat poprawek i aktualizacji sygnatur wirusów niż standardowe repozytoria debian .

Używamy cron-apt do automatyzacji pobierania i na podstawie porady, którą zobaczyłem tutaj na SF , teraz dołączamy listę źródłową zawierającą tylko repozytoria bezpieczeństwa w pliku konfiguracyjnym cron-apt, więc tylko poprawki bezpieczeństwa są instalowane automatycznie bez żadnych dalszych działań.