Cập nhật bảo mật tự động trên máy chủ nén Debian

Đối với máy chủ nén Debian sản xuất, các thực tiễn hoặc đề xuất tốt nhất để xử lý các cập nhật bảo mật là gì? Tôi đã thấy nhiều bài báo trên cron-apt, apticron, unattended-updates, công việc cron apt, vv mà tải về và / hoặc cài đặt cập nhật bảo mật khi chúng được phát hành.

Có vẻ như có hai triết lý về điều này:

1. Tải xuống tất cả các cập nhật bảo mật và thông báo bằng email, sau đó yêu cầu quản trị viên đến và áp dụng các cập nhật theo cách thủ công.

2. Tải xuống và cài đặt tất cả các bản cập nhật bảo mật khi chúng được phát hành, gửi thông báo email cho quản trị viên biết gói nào được nâng cấp.

Đối với hai trường hợp này, cách được đề xuất để định cấu hình nâng cấp bảo mật tự động trên máy chủ Debian là gì?

Tôi thích kịch bản đầu tiên. Cá nhân tôi sử dụng apticrontrên hệ thống của mình để thông báo cho tôi về các cập nhật mới. Vì tôi trực tuyến rất nhiều vào ban ngày và buổi tối, tôi đọc những thư này khá nhanh và tôi tự áp dụng các bản cập nhật. Điều này vì lý do đôi khi các gói xung đột và tôi không muốn có bất kỳ rủi ro nào khi máy chủ của tôi bị hỏng do cập nhật tự động.

Nhưng đây là một quan điểm cá nhân. Nó phụ thuộc vào bao nhiêu thời gian bạn phải cập nhật máy chủ của bạn. Một số người thích tự động cập nhật và không bao giờ gặp rắc rối với nó.

Tôi đã đi với kịch bản thứ hai bằng unattended-upgradescách sử dụng các hướng dẫn này .

Điều quan trọng cần lưu ý là các tùy chọn có sẵn cho bạn unattended-upgrades. Tôi chỉ tự động cài đặt các bản cập nhật bảo mật và nếu có lỗi xảy ra trong quá trình cập nhật thì nó tạm dừng và tôi nhận được e-mail về nó.