Чи потрібно ввімкнути автоматичне оновлення на стабільній Debian lenny?

Я встановив новий сервер lenny Linux Debian, який буде LAMP і Subversion сервером. Чи потрібно активувати автоматичні оновлення?

Якщо я це дозволю, я впевнений, що у мене є останні патчі безпеки. Він також не повинен порушувати мою систему, оскільки стабільна програма Debian забезпечує лише патчі безпеки. Якщо я встановлю їх вручну, можливо, я буду піддаватися підвищеному ризику безпеки протягом декількох днів та тижнів.

Будь ласка, майте на увазі, що я не штатний системний адміністратор, тому не маю часу переглядати бюлетені безпеки.

Що ти зазвичай робиш зі своїми серверами? Яка ваша порада?

(Попередження щодо автоматичного оновлення вже озвучені попередніми плакатами.)

Враховуючи результати роботи команди Debian Security за останні кілька років, я вважаю, що ризики пошкоджених оновлень набагато менші, ніж користь від автоматичних оновлень на рідко відвідуваних системах.

Debian Lenny оснащений оновленнями без догляду , які походять від Ubuntu і вважаються рішенням дефакто для оновлених оновлень для Debian, починаючи з Lenny / 5.0.

Щоб встановити його і запустити в системі Debian, потрібно встановити unattended-upgradesпакет.

Потім додайте ці рядки до /etc/apt/apt.conf:

APT :: Періодично :: Список оновлень-пакетів "1";
APT :: Періодичний :: Unttended-Upgrade "1";

(Примітка: у Debian Squeeze / 6.0 немає /etc/apt/apt.conf. Кращим методом є використання наступної команди, яка створить вищевказані рядки в /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure -plow без нагляду-оновлення

Задача cron потім виконується щоночі і перевіряє наявність оновлень безпеки, які потрібно встановити.

Дії без нагляду оновлень можна відстежувати в /var/log/unattended-upgrades/. Будьте обережні, що для активації виправлень безпеки ядра вам потрібно перезавантажити сервер вручну. Це також можна зробити автоматично під час вікна планового (наприклад, щомісячного) обслуговування.

Тепер Apt має власну роботу cron /etc/cron.daily/apt, а документація знаходиться у самому файлі:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

Просто встановіть apticron і змініть налаштування EMAIL = у /etc/apticron/apticron.conf

Apticron перевірить останні оновлення та завантажить їх. Він НЕ встановлює їх. Він надішле вам лист із оновленнями, які очікують на розгляд.

Моя порада: так, отримуйте оновлення безпеки автоматично. У мене був виділений сервер Debian близько 4 років тому, без автоматизованих оновлень. Я пішов у відпустку біля Різдва, коли вийшов черв'як, який використовував відому вразливість у розповсюдженні (не пам'ятаю, який із них). Коли я повернувся з відпустки, мій сервер був зламаний.

Для мене ризик зламати додаток дуже низький, набагато нижчий, ніж зламатись запущеними версіями з добре відомими вразливими місцями.

Я ніколи не використовую автоматичні оновлення. Мені подобається робити оновлення, коли я поряд, встигаю прибирати речі, якщо воно піде не так. Якщо ви не хочете мати справу з бюлетенями щодо безпеки, вирішіть, як довго вам зручно перевіряти наявність оновлень і просто вирішити робити оновлення щотижня. Це так само просто, як: "оновлення можливостей; оновлення можливостей для розширення (або безпечне оновлення можливостей)"

Я вважаю за краще присвятити цьому трохи часу, ніж для того, щоб мій поштовий сервер раптово відійшов і не повертався автоматично.

Я рекомендую вам налаштувати apt щодня перевіряти наявність оновлень, але лише сповіщати про те, що вони доступні, а не виконувати їх, поки ви не поруч. Завжди є ймовірність, що оновлення apt-get щось зламає або потребує певного введення користувача.

apticron - це гарний пакет для цього, або ви можете просто зробити роботу з cron, яка виконує щось на кшталт:

apt-get update -qq; apt-get upgrade -duyq

Я рекомендую оновити будь-коли, коли ви побачите щось з високим пріоритетом чи більшим, але я також не люблю чекати, поки буде виконано 30 або 40 оновлень - адже тоді, якщо щось порушиться, важче звузити, який саме пакет зламав вашу систему.

Крім того, залежно від того, які пакунки ви виконуєте на своєму сервері LAMP, ви можете додати сховища debian volitile та / або dotdeb у свій список сховищ, оскільки вони набагато більше підтримують патчі та оновлення вірусу, ніж стандартні репозиції debian .

Ми використовуємо cron-apt для автоматизації завантажень, і на основі порад, які я бачив тут, на SF, ми тепер включаємо список джерел із лише сховищами безпеки у файлі конфігурації cron-apt, тому лише виправлення безпеки автоматично встановлюються без будь-яких подальших дій.