Jak bezpieczne są nienadzorowane aktualizacje / automatyczne aktualizacje dla Ubuntu

14

Próbuję na bieżąco aktualizować i aktualizować kilka urządzeń ubuntu (10.4.2 LTS), jedną z sugestii, które otrzymuję, jest konfigurowanie nienadzorowanych aktualizacji ( https://help.ubuntu.com/community/ AutomaticSecurityUpdates ).

W przeszłości byłem przeciwny konfigurowaniu automatycznych aktualizacji, głównie z powodu paranoi, że coś zepsuje podczas procesu aktualizacji. Jednak teraz zaczynam zastanawiać się, jak to jest poprawne (i jakie jest to ryzyko w porównaniu z potencjalnie niepakowanymi serwerami). Czy to rozsądny pomysł?

Jesteśmy również w trakcie konfigurowania Puppet, jednak tworzenie modułów / migracja serwerów do Puppet wydaje się daleko.

Pratik Amin
źródło

Odpowiedzi:

6

W ostatnim czasie aktualizacje pakietów Ubuntu rujnowały poważne spustoszenie, więc zalecam ręczne wdrożenie pakietów w tym momencie (po kilku testach lub przynajmniej migawce VM) z czymś w rodzaju apticron, aby wysłać ci e-mail o oczekujące łatki.

To powiedziawszy, centralne narzędzie do zarządzania aktualizacjami byłoby znacznie lepsze. Niestety wydaje się, że nie nastąpił duży postęp .

Shane Madden
źródło
1
Czy w przypadku problemów mogłeś potwierdzić, że były na serwerze Ubuntu, a nie na komputerze? Czy masz również problem z aktualizacją zabezpieczeń lub aktualizacją standardową?
Mark Stosberg,
1
@MarkStosberg Nie pamiętam dokładnie, jaki był problem z aktualizacją pakietu, na który natrafiłem w zeszłym roku w tym czasie. Chcę powiedzieć, że była to aktualizacja likewise-openpakietu, która złamała uwierzytelnianie; nie jestem pewien, czy była to aktualizacja zabezpieczeń, czy nie. Ale tak, zdecydowanie na serwerach, nie na komputerach stacjonarnych.
Shane Madden
8

Myślę, że to zależy od twojej sytuacji - musisz rozważyć ryzyko.

Ile szkód może spowodować nieudana aktualizacja? Czy jest to serwer produkcyjny przetwarzający zamówienia w czasie rzeczywistym? Czy godzina przestoju kosztowałaby cię dużo pieniędzy?

Jeśli nie uruchomisz automatycznych aktualizacji, będziesz bardziej narażony na ataki hakerów i exploity zero-day. Ile szkód może wyrządzić haker? Czy Twój serwer obsługuje wiele bardzo poufnych informacji, które w przypadku kradzieży mogą kosztować Cię więcej niż kilka godzin przestoju?

Osobiście popełniam błąd ze strony bezpieczeństwa i uruchamiam nienadzorowane aktualizacje. Ale aby zminimalizować potencjał zepsucia aktualizacji, robię tylko aktualizacje zabezpieczeń, a pozostałe aktualizacje robię ręcznie.

Myślę, że jeśli aktualizacja się zepsuje, to raczej nie zauważę, dopóki komputer nie zostanie ponownie uruchomiony, w takim przypadku to, czy aktualizacja została zainstalowana ręcznie, czy automatycznie, nie ma znaczenia.

aidan
źródło