W przypadku produkcyjnego serwera wyciskania Debian, jakie są najlepsze praktyki lub zalecenia dotyczące obsługi aktualizacji bezpieczeństwa? Widziałem różne artykuły na temat cron-apt
, apticron
, unattended-updates
, apt crona, itd., Że pobieranie i / lub zainstalować aktualizacje zabezpieczeń, ponieważ są one zwolnione.
Wygląda na to, że istnieją dwie filozofie:
Pobierz wszystkie aktualizacje zabezpieczeń i powiadom o tym e-mailem, a następnie poproś administratora, aby ręcznie zastosował aktualizacje.
Pobierz i zainstaluj wszystkie aktualizacje zabezpieczeń po ich wydaniu, wysyłając powiadomienie e-mail z powiadomieniem administratora, które pakiety zostały zaktualizowane.
W tych dwóch przypadkach, jaki jest zalecany sposób konfiguracji automatycznych aktualizacji bezpieczeństwa na serwerze Debian?
Odpowiedzi:
Wolę pierwszy scenariusz. Osobiście używam
apticron
w swoim systemie, aby powiadomić mnie o nowych aktualizacjach. Ponieważ jestem często online w ciągu dnia i wieczorem, dość szybko czytam te e-maile i sam je aktualizuję. To z tego powodu, że czasami pakiety są w konflikcie i nie chcę ryzykować, że mój serwer przestanie działać z powodu automatycznej aktualizacji.Ale to jest osobisty pogląd. To zależy od tego, ile czasu masz na aktualizację swoich serwerów. Niektóre osoby korzystają z automatycznych aktualizacji i nigdy nie mają z tym żadnych problemów.
źródło
Wybrałem drugi scenariusz, korzystając
unattended-upgrades
z tych instrukcji .Ważne jest zwrócenie uwagi na dostępne opcje
unattended-upgrades
. Aktualizacje bezpieczeństwa instaluję tylko automatycznie, a jeśli coś pójdzie nie tak podczas procesu aktualizacji, zostanie ono przerwane i otrzymam wiadomość e-mail na ten temat.źródło