Czy powinienem włączyć automatyczną aktualizację stabilnej wersji Debiana?

25

Zainstalowałem nowy serwer Linux Debian Lenny , który będzie serwerem LAMP i Subversion . Czy powinienem włączyć automatyczne aktualizacje?

Jeśli ją włączę, jestem pewien, że mam najnowsze poprawki bezpieczeństwa. Nie powinno to również uszkodzić mojego systemu, ponieważ stabilna wersja Debiana zapewnia tylko poprawki bezpieczeństwa. Jeśli zainstaluję je ręcznie, mogę być narażony na wysokie ryzyko bezpieczeństwa przez wiele dni i tygodni.

Pamiętaj, że nie jestem pełnoetatowym administratorem systemu, więc nie mam czasu na przeglądanie biuletynów bezpieczeństwa.

Co zwykle robisz ze swoimi serwerami? Jaka jest Twoja rada?

Peter Mortensen
źródło

Odpowiedzi:

28

(Ostrzeżenia dotyczące automatycznych aktualizacji zostały już wypowiedziane przez poprzednie plakaty).

Biorąc pod uwagę osiągnięcia zespołu Debian Security w ciągu ostatnich kilku lat, uważam, że ryzyko zepsutych aktualizacji jest o wiele mniejsze niż korzyść z posiadania automatycznych aktualizacji w rzadko odwiedzanych systemach.

Debian Lenny jest dostarczany z uaktualnieniami nienadzorowanymi , które pochodzą z Ubuntu i jest uważany za rozwiązanie defacto dla nienadzorowanych uaktualnień Debiana od Lenny / 5.0.

Aby go uruchomić i uruchomić w systemie Debian, musisz zainstalować unattended-upgradespakiet.

Następnie dodaj te linie do /etc/apt/apt.conf:

APT :: Periodic :: Update-Package-Lists „1”;
APT :: Okresowe :: Unattended-Upgrade „1”;

(Uwaga: w Debian Squeeze / 6.0 nie ma /etc/apt/apt.conf. Preferowaną metodą jest użycie następującego polecenia, które utworzy powyższe wiersze w /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure -plow unattended-upgrade

Zadanie cron jest następnie uruchamiane co noc i sprawdza, czy istnieją aktualizacje zabezpieczeń, które należy zainstalować.

Działania monitorowane przez nienadzorowane aktualizacje mogą być monitorowane w /var/log/unattended-upgrades/. Zachowaj ostrożność, aby aby poprawki bezpieczeństwa jądra stały się aktywne, musisz ręcznie zrestartować serwer. Można to również zrobić automatycznie w trakcie planowanego (np. Miesięcznego) okna konserwacji.

Michael Renner
źródło
Tylko pytanie: czy aktualizacje nienadzorowane wykonają jakiekolwiek aktualizacje, czy tylko związane z bezpieczeństwem?
Lindelof
unattended-upgradesma ustawienie określające tylko instalowanie aktualizacji zabezpieczeń.
Martijn Heemels
1
unattended-upgrade(bez s) instaluje tylko aktualizacje zabezpieczeń. Dzięki --debug --dry-runniemu możesz uzyskać listę pakietów w dzienniku bez ich instalowania.
ignis
6

Apt ma teraz własne zadanie cron /etc/cron.daily/apt, a dokumentacja znajduje się w samym pliku:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.
tomdeb
źródło
Nie udokumentować Allowed-Origins.
Daniel C. Sobral
5

Wystarczy zainstalować apticron i zmienić ustawienie EMAIL = w /etc/apticron/apticron.conf

Apticron sprawdzi najnowsze aktualizacje i je pobierze. NIE zainstaluje ich. Wyśle ci wiadomość z oczekującymi aktualizacjami.

Dax
źródło
5

Moja rada: tak, automatycznie otrzymuj aktualizacje zabezpieczeń. Miałem dedykowany serwer Debian około 4 lata temu, bez automatycznych aktualizacji. Wyjechałem na święta w okolicach Bożego Narodzenia, kiedy wypuszczono robaka, który wykorzystał znaną lukę w dystrybucji (nie pamiętam, która). Kiedy wróciłem z wakacji, mój serwer został zhakowany.

Dla mnie ryzyko uszkodzenia aplikacji jest bardzo niskie, znacznie niższe niż włamanie przez uruchomione wersje ze znanymi lukami.

Julien
źródło
0

Nigdy nie używam automatycznych aktualizacji. Lubię aktualizacje, które należy wykonać, gdy jestem w pobliżu, aby mieć czas na uporządkowanie rzeczy, jeśli pójdzie to nie tak. Jeśli nie chcesz zajmować się biuletynami zabezpieczeń, zdecyduj, jak długo nie musisz sprawdzać aktualizacji, i po prostu zdecyduj się na aktualizację co tydzień. Jest to tak proste, jak: „aktualizacja aptitude; aptitude dist-upgrade (lub aptitude safe-upgrade)”

Wolę poświęcić na to trochę czasu niż nagłe odejście mojego serwera pocztowego i nie automatyczne ponowne uruchamianie.

kbyrd
źródło
0

Zalecam, abyś skonfigurował apt, aby sprawdzał aktualizacje codziennie, ale aby powiadamiał cię tylko o ich dostępności i nie wykonywał ich dopóki nie będziesz w pobliżu. Zawsze istnieje szansa, że aktualizacja apt-get coś zepsuje lub wymagać będzie pewnej uwagi ze strony użytkownika.

apticron jest dobrym pakietem, aby to dla Ciebie zrobić, lub możesz po prostu wykonać zadanie crona, które wykonuje coś takiego:

apt-get update -qq; apt-get upgrade -duyq

Polecam aktualizację za każdym razem, gdy zobaczysz coś o wysokim priorytecie lub wyższym - ale nie chcę też czekać, aż będzie 30 lub 40 aktualizacji do wykonania - ponieważ wtedy coś się psuje, trudniej jest zawęzić dokładnie to, który pakiet zepsuł twój system.

Ponadto, w zależności od pakietów uruchomionych na serwerze LAMP, możesz chcieć dodać repozytoria volitile i / lub dotdeb debian do listy repozytoriów, ponieważ przechowują one znacznie więcej na temat poprawek i aktualizacji sygnatur wirusów niż standardowe repozytoria debian .

Brent
źródło
0

Używamy cron-apt do automatyzacji pobierania i na podstawie porady, którą zobaczyłem tutaj na SF , teraz dołączamy listę źródłową zawierającą tylko repozytoria bezpieczeństwa w pliku konfiguracyjnym cron-apt, więc tylko poprawki bezpieczeństwa są instalowane automatycznie bez żadnych dalszych działań.

nedm
źródło