Dovrei abilitare l'aggiornamento automatico su Debian lenny stable?

Ho installato un nuovo server lenny Debian Linux che sarà un LAMP e un server Subversion . Dovrei abilitare gli aggiornamenti automatici?

Se lo abilito, sono sicuro di disporre delle ultime patch di sicurezza. Inoltre, non dovrebbe interrompere il mio sistema poiché Debian stable fornisce solo patch di sicurezza. Se li installo manualmente, potrei essere ad alto rischio per la sicurezza per più giorni e settimana.

Tieni presente che non sono un amministratore di sistema a tempo pieno, quindi non ho il tempo di consultare i bollettini sulla sicurezza.

Cosa fai di solito con i tuoi server? Qual è il tuo consiglio?

(Gli avvisi relativi agli aggiornamenti automatici sono già stati espressi dai precedenti poster.)

Dato il track record del team di sicurezza Debian negli ultimi anni, considero i rischi di aggiornamenti interrotti molto meno del vantaggio di avere aggiornamenti automatici su sistemi visitati di rado.

Debian Lenny viene fornito con aggiornamenti automatici , originati da Ubuntu ed è considerata la soluzione defacto per gli aggiornamenti automatici per Debian a partire da Lenny / 5.0.

Per farlo funzionare su un sistema Debian è necessario installare il unattended-upgradespacchetto.

Quindi aggiungere queste righe a /etc/apt/apt.conf:

APT :: Periodic :: Update-Package-Lists "1";
APT :: Periodico :: Aggiornamento automatico "1";

(Nota: in Debian Squeeze / 6.0 non c'è /etc/apt/apt.conf. Il metodo preferito è usare il seguente comando, che creerà le righe sopra in /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure -plow aggiornamenti automatici

Un cron job viene quindi eseguito di notte e verifica se ci sono aggiornamenti di sicurezza che devono essere installati.

È possibile monitorare le azioni mediante aggiornamenti non presidiati /var/log/unattended-upgrades/. Diffidare che per rendere attive le correzioni di sicurezza del kernel, è necessario riavviare il server manualmente. Questo può essere fatto anche automaticamente nel corso di una finestra di manutenzione programmata (ad esempio mensile).

Apt ora viene fornito con il proprio cron job /etc/cron.daily/apt e documentaion si trova nel file stesso:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

Installa semplicemente apticron e modifica l'impostazione EMAIL = in /etc/apticron/apticron.conf

Apticron verificherà gli ultimi aggiornamenti e li scaricherà. NON li installerà. Ti invierà una mail con gli aggiornamenti in sospeso.

Il mio consiglio: sì, ottieni automaticamente gli aggiornamenti di sicurezza. Avevo un server Debian dedicato circa 4 anni fa, senza aggiornamenti automatici. Sono andato in vacanza a Natale quando è stato rilasciato un worm che sfruttava una vulnerabilità nota nella distribuzione (non ricordo quale). Quando sono tornato dalle vacanze, il mio server è stato violato.

Per me, il rischio di interrompere l'applicazione è molto basso, molto più basso rispetto all'essere hackerato eseguendo versioni con vulnerabilità ben note.

Non uso mai gli aggiornamenti automatici. Mi piacciono gli aggiornamenti da fare quando sono in giro, ho tempo per ripulire le cose se va storto. Se non vuoi occuparti dei bollettini sulla sicurezza, decidi quanto tempo hai a disposizione per controllare gli aggiornamenti e decidi di fare gli aggiornamenti ogni settimana. È semplice come: "aptitude update; aptitude dist-upgrade (o aptitude safe-upgrade)"

Preferisco dedicare un po 'di tempo a questo che lasciare che il mio server di posta vada via all'improvviso e non ritorni automaticamente.

Consiglierei di configurare apt per controllare gli aggiornamenti ogni giorno, ma per avvisarti solo che sono disponibili e non eseguirli fino a quando non ci sei. C'è sempre la possibilità che un aggiornamento apt-get rompa qualcosa o richieda l'input dell'utente.

apticron è un buon pacchetto per fare questo per te, o potresti semplicemente fare un lavoro cron che esegue qualcosa del tipo:

apt-get update -qq; apt-get upgrade -duyq

Consiglierei l'aggiornamento ogni volta che vedi qualcosa di prioritario o superiore, ma non mi piace aspettare fino a quando non ci saranno 30 o 40 aggiornamenti da eseguire, perché se qualcosa si rompe è più difficile restringere esattamente quale pacchetto ha rotto il tuo sistema.

Inoltre, a seconda dei pacchetti in esecuzione sul tuo server LAMP, potresti voler aggiungere i repository debian volitile e / o dotdeb all'elenco dei repository, poiché mantengono molto di più in cima alle patch e agli aggiornamenti dei pattern dei virus rispetto ai repository standard di debian .

Usiamo cron-apt per automatizzare i download e sulla base dei consigli che ho visto qui su SF ora includiamo un elenco di sorgenti con solo repository di sicurezza nel file di configurazione cron-apt, quindi solo le correzioni di sicurezza vengono installate automaticamente senza ulteriori azioni.