Короткий ответ: да, вы должны поддерживать свои системы в актуальном состоянии в отношении исправлений безопасности.
То, как именно вы выкатываете патчи безопасности, зависит от вашего допуска к риску. Вот несколько вариантов, которые я использовал для ответа на этот вопрос в прошлом:
Примените обновления к набору систем обеспечения качества, которые имитируют вашу производственную среду, и запустите все ваши регрессионные тесты, чтобы убедиться, что изменения не нарушают какую-либо функциональность и не вызывают проблем с производительностью. Как только вы будете удовлетворены, разверните обновления для ваших производственных систем.
Подождите день и посмотрите, есть ли публичный протест по поводу проблем, вызванных обновлениями. Если все кажется мирным, обновите свои производственные системы.
Примените каждое исправление безопасности на своих производственных системах, как только оно станет доступно.
Я использовал комбинацию всех трех из этих подходов с использованием Ubuntu и постепенно перешел к варианту 3 на протяжении многих лет. Перед выпуском исправления для системы безопасности проходят тщательную проверку, поэтому особое внимание уделяется тому, чтобы не нарушить существующую функциональность. У меня никогда не было проблем с обновлением образов, поддерживаемых Ubuntu (хотя у меня однажды была проблема несколько лет назад, когда я использовал не-Ubuntu ядро с Ubuntu на EC2).
Обратите внимание, что обновление ядра также требует перезагрузки, чтобы применить изменения.
Приведенные выше опыт и рекомендации применимы только к обновлению в версии Ubuntu (например, 11.04). Обновление до новой версии Ubuntu является гораздо более сложной и рискованной задачей, и для нее обязательно требуется тестирование, прежде чем внедрять его в свои производственные системы.
Вот статья об этой теме, только что опубликованная RightScale, о том, как управлять обновлениями безопасности в их среде:
http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/
apt-get update && apt-get upgrade && apt-get dist-upgrade
. Это обновит отложенные пакеты.