Автоматичні оновлення безпеки на сервері видавлення Debian

Що стосується виробничого сервера видавлення Debian, які найкращі практики чи рекомендації щодо обробки оновлень безпеки? Я бачив різні статті на cron-apt, apticron, unattended-updates, влучних Хроні робочих місць і т.д. , які завантаження і / або установку оновлень безпеки , оскільки вони звільнені.

Схоже, на цьому є дві філософії:

1. Завантажте всі оновлення безпеки та повідомте електронною поштою, а потім запросіть адміністратора та застосуйте оновлення вручну.

2. Завантажте та встановіть усі оновлення безпеки після їх виходу, надіславши повідомлення електронною поштою, щоб адміністратор дізнався, які пакети були оновлені.

У цих двох випадках, який рекомендований спосіб налаштування автоматичних оновлень безпеки на сервері Debian?

Я віддаю перевагу першому сценарію. Я особисто використовую apticronв своїй системі, щоб повідомляти мене про нові оновлення. Оскільки я в Інтернеті багато вдень і ввечері, я читаю ці листи досить швидко, і я сама застосовую оновлення. Це з тієї причини, що іноді пакети конфліктують, і я не хочу ризикувати, що мій сервер вийде з ладу через автоматичне оновлення.

Але це особистий погляд. Це залежить від того, скільки часу вам доведеться оновлювати сервери. Деякі люди мають на увазі автоматичне оновлення, і ніколи не матимуть жодних проблем з цим.

Я пішов з другим сценарієм, unattended-upgradesвикористовуючи ці інструкції .

Важливо відзначити варіанти, доступні вам unattended-upgrades. Я встановлюю оновлення безпеки лише автоматично, і якщо в процесі оновлення щось піде не так, воно зупиняється, і я отримую електронний лист про це.