Tôi có nên kích hoạt tự động cập nhật trên Debian lenny ổn định không?

Tôi đã cài đặt một máy chủ lenny Debian Linux mới sẽ là máy chủ LAMP và Subversion . Tôi có nên kích hoạt cập nhật tự động?

Nếu tôi kích hoạt nó, tôi chắc chắn rằng tôi có các bản vá bảo mật mới nhất. Nó cũng không nên phá vỡ hệ thống của tôi vì Debian ổn định chỉ cung cấp các bản vá bảo mật. Nếu tôi cài đặt chúng theo cách thủ công, tôi có thể gặp rủi ro bảo mật cao trong nhiều ngày và tuần.

Xin lưu ý rằng tôi không phải là quản trị viên hệ thống toàn thời gian, vì vậy tôi không có thời gian để xem các bản tin bảo mật.

Bạn thường làm gì với máy chủ của mình? Lời khuyên của bạn là gì?

(Cảnh báo về nâng cấp tự động đã được đưa ra bởi các áp phích trước đó.)

Với hồ sơ theo dõi của nhóm Bảo mật Debian trong vài năm qua, tôi cho rằng rủi ro của việc nâng cấp bị hỏng ít hơn nhiều so với lợi ích của việc cập nhật tự động trên các hệ thống ít khi truy cập.

Debian Lenny đi kèm với các bản nâng cấp không giám sát , có nguồn gốc từ Ubuntu và được coi là giải pháp defacto cho các nâng cấp không giám sát cho Debian bắt đầu từ Lenny / 5.0.

Để khởi động và chạy trên hệ thống Debian, bạn cần cài đặt unattended-upgradesgói.

Sau đó thêm các dòng này vào /etc/apt/apt.conf:

APT :: Định kỳ :: Cập nhật-Gói-Danh sách "1";
APT :: Định kỳ :: Không giám sát-Nâng cấp "1";

(Lưu ý: Trong Debian Squeeze / 6.0 không có /etc/apt/apt.conf. Phương pháp ưa thích là sử dụng lệnh sau, sẽ tạo các dòng trên trong /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-cấu hình lại -plow không giám sát-nâng cấp

Một công việc định kỳ sau đó được chạy hàng đêm và kiểm tra xem có bản cập nhật bảo mật nào cần được cài đặt không.

Các hành động của nâng cấp không giám sát có thể được theo dõi trong /var/log/unattended-upgrades/. Hãy cảnh giác, để sửa lỗi bảo mật kernel hoạt động, bạn cần khởi động lại máy chủ theo cách thủ công. Điều này cũng có thể được thực hiện tự động trong quá trình bảo trì theo kế hoạch (ví dụ hàng tháng).

Apt bây giờ đi kèm với công việc cron riêng của mình /etc/cron.daily/apt và documentaion được tìm thấy trong chính tệp:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

Chỉ cần cài đặt apticron và thay đổi EMAIL = cài đặt trong /etc/apticron/apticron.conf

Apticron sẽ kiểm tra các bản cập nhật mới nhất và tải chúng xuống. Nó sẽ KHÔNG cài đặt chúng. Nó sẽ gửi cho bạn một thư với các bản cập nhật đang chờ xử lý.

Lời khuyên của tôi: có, nhận các bản cập nhật bảo mật tự động. Tôi đã có một máy chủ Debian chuyên dụng khoảng 4 năm trước, không có cập nhật tự động. Tôi đã đi nghỉ vào dịp Giáng sinh khi một con sâu được phát hành khai thác lỗ hổng đã biết trong bản phân phối (không nhớ cái nào). Khi tôi trở về từ kỳ nghỉ, máy chủ của tôi đã bị hack.

Đối với tôi, nguy cơ phá vỡ ứng dụng là rất thấp, thấp hơn nhiều so với việc bị hack bởi các phiên bản chạy với các lỗ hổng nổi tiếng.

Tôi không bao giờ sử dụng cập nhật tự động. Tôi thích nâng cấp sẽ được thực hiện khi tôi có thời gian để dọn dẹp mọi thứ nếu nó bị lỗi. Nếu bạn không muốn đối phó với các bản tin bảo mật quyết định thời gian bạn cảm thấy thoải mái giữa việc kiểm tra các bản cập nhật và chỉ quyết định thực hiện cập nhật mỗi tuần. Nó đơn giản như: "cập nhật năng khiếu; nâng cấp năng khiếu (hoặc nâng cấp an toàn năng lực)"

Tôi thích dành một chút thời gian cho việc này hơn là để máy chủ thư của tôi đột ngột biến mất và không tự động quay lại.

Tôi khuyên bạn nên cấu hình apt để kiểm tra cập nhật hàng ngày, nhưng chỉ thông báo cho bạn rằng chúng có sẵn và không thực hiện chúng cho đến khi bạn có mặt. Luôn có cơ hội nâng cấp apt-get sẽ phá vỡ thứ gì đó hoặc yêu cầu một số đầu vào của người dùng.

apticron là một gói tốt để làm điều này cho bạn hoặc bạn chỉ có thể thực hiện một công việc định kỳ thực hiện một cái gì đó như:

apt-get update -qq; apt-get upgrade -duyq

Tôi sẽ khuyên bạn nên nâng cấp bất cứ lúc nào bạn thấy thứ gì đó có mức độ ưu tiên cao hoặc cao hơn - nhưng tôi cũng không muốn đợi cho đến khi có 30 hoặc 40 nâng cấp để thực hiện - bởi vì nếu có thứ gì đó phá vỡ thì việc thu hẹp chính xác gói nào đã phá vỡ hệ thống của bạn.

Ngoài ra, tùy thuộc vào gói bạn đang chạy trên máy chủ LAMP của bạn, bạn có thể muốn thêm kho lưu trữ debian volitile và / hoặc dotdeb vào danh sách kho lưu trữ của mình, vì chúng giữ nhiều bản cập nhật hơn các bản vá và bản cập nhật mẫu virus .

Chúng tôi sử dụng cron-apt để tự động tải xuống và dựa trên lời khuyên tôi thấy ở đây trên SF, giờ đây chúng tôi bao gồm một danh sách nguồn chỉ có kho bảo mật trong tệp cấu hình cron-apt, do đó chỉ sửa lỗi bảo mật được tự động cài đặt mà không cần thực hiện thêm bất kỳ hành động nào.