Câu trả lời ngắn gọn là, vâng, bạn nên cập nhật hệ thống của mình đối với các bản vá bảo mật.
Làm thế nào chính xác bạn tung ra các bản vá bảo mật phụ thuộc vào khả năng chịu rủi ro của bạn. Dưới đây là một số tùy chọn mà tôi đã sử dụng để trả lời câu hỏi này trong quá khứ:
Áp dụng các bản nâng cấp cho một tập hợp các hệ thống QA bắt chước môi trường sản xuất của bạn và chạy tất cả các bài kiểm tra hồi quy của bạn để đảm bảo rằng các thay đổi không phá vỡ bất kỳ chức năng nào hoặc gây ra các vấn đề về hiệu suất. Khi bạn hài lòng, hãy tung ra các bản nâng cấp cho hệ thống sản xuất của bạn.
Đợi một ngày và xem nếu có sự phản đối công khai về các vấn đề gây ra bởi các bản cập nhật. Nếu tất cả có vẻ yên bình, hãy nâng cấp hệ thống sản xuất của bạn.
Áp dụng mọi bản vá bảo mật trên các hệ thống sản xuất của bạn ngay khi có sẵn.
Tôi đã sử dụng kết hợp cả ba cách tiếp cận này bằng Ubuntu và dần dần chuyển sang tùy chọn 3 trong những năm qua. Các bản vá bảo mật được kiểm tra kỹ lưỡng trước khi phát hành và rất cẩn thận để không phá vỡ chức năng hiện có. Tôi chưa bao giờ gặp sự cố khi nâng cấp trong các hình ảnh được Ubuntu hỗ trợ (mặc dù tôi đã từng gặp sự cố cách đây nhiều năm khi tôi đang sử dụng hạt nhân không phải Ubuntu với Ubuntu trên EC2).
Lưu ý rằng việc nâng cấp kernel cũng yêu cầu khởi động lại để áp dụng các thay đổi.
Kinh nghiệm và đề xuất ở trên chỉ áp dụng cho việc nâng cấp trong bản phát hành Ubuntu (ví dụ: 11.04). Nâng cấp lên bản phát hành Ubuntu mới là một nhiệm vụ lớn hơn và rủi ro hơn nhiều và chắc chắn cần phải thử nghiệm trước khi bạn đưa nó ra hệ thống sản xuất của mình.
Đây là một bài viết về chủ đề này vừa được RightScale xuất bản về cách quản lý nâng cấp bảo mật trong môi trường của họ:
http://blog.rightscale.com/2011/09/11/security-patching-in-the-rightscale-universe/
apt-get update && apt-get upgrade && apt-get dist-upgrade
. Điều đó sẽ nâng cấp các gói giữ lại.