Должен ли я включить автоматическое обновление стабильной версии Debian lenny?

Я установил новый сервер Linux Debian lenny, который будет ЛАМПОЙ и сервером Subversion . Нужно ли включать автоматические обновления?

Если я включу его, я уверен, что у меня есть последние исправления безопасности. Это также не должно нарушать мою систему, поскольку стабильная версия Debian предоставляет только исправления безопасности. Если я установлю их вручную, я могу подвергнуться высокому риску безопасности в течение нескольких дней и недель.

Помните, что я не являюсь системным администратором, поэтому у меня нет времени просматривать бюллетени по безопасности.

Что вы обычно делаете со своими серверами? Какой твой совет?

(Предупреждения об автоматических обновлениях уже были озвучены предыдущими авторами.)

Учитывая послужной список команды безопасности Debian за последние несколько лет, я считаю, что риски сломанных обновлений гораздо меньше, чем преимущества автоматических обновлений в редко посещаемых системах.

Debian Lenny поставляется с необслуживаемыми обновлениями , которые были созданы в Ubuntu и считаются де-факто решением для автоматических обновлений Debian, начиная с Lenny / 5.0.

Чтобы запустить его в системе Debian, вам нужно установить unattended-upgradesпакет.

Затем добавьте эти строки в /etc/apt/apt.conf:

APT :: Periodic :: Update-Package-Lists "1";
APT :: Periodic :: Unattended-Upgrade "1";

(Примечание: в Debian Squeeze / 6.0 нет /etc/apt/apt.conf. Предпочтительный метод - использовать следующую команду, которая создаст вышеуказанные строки в /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure -plow unattended-upgrades

Задание cron запускается ночью и проверяет наличие обновлений безопасности, которые необходимо установить.

Действия по автоматическим обновлениям можно отслеживать в /var/log/unattended-upgrades/. Будьте осторожны, чтобы исправления безопасности ядра стали активными, вам необходимо перезагрузить сервер вручную. Это также может быть сделано автоматически в ходе запланированного (например, ежемесячного) периода обслуживания.

Apt теперь поставляется с собственной задачей cron /etc/cron.daily/apt, и документация находится в самом файле:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

Просто установите apticron и измените настройку EMAIL = в /etc/apticron/apticron.conf

Apticron проверит последние обновления и загрузит их. Он НЕ установит их. Он отправит вам письмо с ожидающими обновлениями.

Мой совет: да, получать обновления безопасности автоматически. У меня был выделенный сервер Debian около 4 лет назад, без автоматических обновлений. Я уехал в отпуск на Рождество, когда был выпущен червь, который использовал известную уязвимость в дистрибутиве (не помню, какой именно). Когда я вернулся из отпуска, мой сервер был взломан.

Для меня риск сломать приложение очень низок, намного ниже, чем взломанный при запуске версий с хорошо известными уязвимостями.

Я никогда не использую автоматические обновления. Мне нравится делать обновления, когда у меня есть время, чтобы почистить вещи, если что-то пойдет не так. Если вы не хотите иметь дело с бюллетенями по безопасности, решите, как долго вам будет удобно проверять наличие обновлений, и просто решайте делать обновления каждую неделю. Это так просто: «aptitude update; aptitude dist-upgrade (или aptitude safe-upgrade)»

Я предпочитаю уделять этому немного времени, чем внезапно отключить мой почтовый сервер и не возвращаться автоматически.

Я бы порекомендовал вам настроить apt для ежедневной проверки обновлений, но только для того, чтобы уведомлять вас о том, что они доступны, и не выполнять их, пока вы не будете рядом. Всегда есть вероятность, что обновление apt-get что-то сломает или потребует ввода от пользователя.

apticron - хороший пакет, чтобы сделать это для вас, или вы можете просто сделать работу cron, которая выполняет что-то вроде:

apt-get update -qq; apt-get upgrade -duyq

Я бы рекомендовал обновлять каждый раз, когда вы видите что-то с высоким приоритетом или выше - но я также не люблю ждать, пока будет выполнено 30 или 40 обновлений, потому что тогда, если что-то сломается, сложнее точно определить, какой пакет сломал вашу систему.

Кроме того, в зависимости от того, какие пакеты вы запускаете на своем сервере LAMP, вы можете захотеть добавить репозитории debian volitile и / или dotdeb в ваш список репозиториев, поскольку они гораздо больше поддерживают обновления патчей и шаблонов вирусов, чем стандартные репозитории debian. ,

Мы используем cron-apt для автоматизации загрузок, и, основываясь на совете, который я видел здесь по SF, мы теперь включаем в исходный файл cron-apt список исходников с только репозиториями безопасности, поэтому автоматически устанавливаются только исправления безопасности без каких-либо дальнейших действий.