Наскільки безпечні Unttended Upgrades / Automatic Updates для Ubuntu

Я зараз намагаюся постійно оновлювати декілька полів ubuntu (10.4.2 LTS), одна пропозиція, яку я отримую, - це налаштування оновлених оновлень ( https://help.ubuntu.com/community/ AutomaticSecurityUpdates ).

Раніше я був проти налаштування автоматичних оновлень, в основному через параноїю, що вона щось порушить під час процесу оновлення. Однак зараз я починаю сумніватися, наскільки це справедливо (і з якою величиною ризику це порівняно з потенційно незапакованими серверами). Це розумна ідея?

Ми також в процесі налаштування лялечки, проте створення модулів / міграція серверів до маріонеткових здається далеко.

У недавньому минулому у мене відбувалися серйозні пошкодження оновлень пакунків Ubuntu, тому моєю рекомендацією було б вручну розгорнути пакунки в цей момент (після деякого тестування або принаймні знімка VM) з чимось на зразок apticron, щоб надіслати вам електронний лист про відкладені патчі.

Однак, центральний інструмент управління оновленнями буде набагато кращим. На жаль, здається, що прогресу немає .

Я думаю, це залежить від вашої ситуації - ви повинні зважувати ризики.

Скільки збитків може заподіяти оновлення? Це виробничий сервер, який обробляє замовлення в режимі реального часу? Чи коштувала б вам година простою?

Якщо ви не запускаєте автоматичні оновлення, ви більше піддаєтеся хакерам і подвигам нульового дня. Скільки шкоди може зробити хакер? Чи є у вашого сервера багато дуже чутливої ​​інформації, яка, якщо її вкрадуть, може коштувати вам набагато більше, ніж пару годин простою?

Особисто я помиляюся на стороні безпеки і запускаю без нагляду оновлення. Але, щоб мінімізувати потенціал виправлення оновлення, я роблю лише оновлення безпеки, а решту оновлень роблю вручну.

Я думаю, якщо оновлення буде вимкнено, навряд чи я помічу, поки машина не перезавантажиться, і в такому випадку, чи оновлення було встановлено вручну чи автоматично, це не має значення.