Quanto sono sicuri gli aggiornamenti automatici / Aggiornamenti automatici per Ubuntu


14

Sto tentando di mantenere aggiornati e rattoppati vari box di Ubuntu (10.4.2 LTS), un suggerimento che sto ricevendo è la configurazione di aggiornamenti automatici ( https://help.ubuntu.com/community/ AutomaticSecurityUpdates ).

In passato sono stato contrario alla configurazione di aggiornamenti automatici, principalmente a causa della paranoia che si romperà qualcosa durante il processo di aggiornamento. Tuttavia, ora sto iniziando a chiedermi quanto sia valido (e quanto rischi rispetto ad avere server potenzialmente privi di patch). È un'idea sana?

Stiamo anche configurando Puppet, tuttavia la creazione di moduli / migrazione dei server verso Puppet sembra molto lontana.

Risposte:


6

Ho avuto aggiornamenti di pacchetti Ubuntu in grave rovina nel recente passato, quindi la mia raccomandazione sarebbe di distribuire manualmente i pacchetti a questo punto, (dopo alcuni test o almeno un'istantanea della VM) con qualcosa come apticron per inviarti un'e-mail su patch in sospeso.

Detto questo, uno strumento centrale di gestione degli aggiornamenti sarebbe molto meglio. Sfortunatamente, non sembrano esserci stati molti progressi .


1
Quando hai avuto problemi, puoi confermare che si trovavano su un server Ubuntu e non su un desktop? Inoltre, hai riscontrato un problema con un aggiornamento della sicurezza o un aggiornamento standard?
Mark Stosberg,

1
@MarkStosberg Non ricordo esattamente quale problema di aggiornamento del pacchetto è stato riscontrato in questo periodo l'anno scorso .. Voglio dire che è stato un aggiornamento del likewise-openpacchetto che ha rotto l'autenticazione; non sono sicuro che si tratti di un aggiornamento di sicurezza o meno. Ma sì, sicuramente sui server, non sui desktop.
Shane Madden

8

Penso che dipenda dalla tua situazione: devi valutare i rischi.

Quanti danni potrebbero essere causati da un aggiornamento che va storto? È un server di produzione che elabora gli ordini in tempo reale? Un'ora di downtime ti costerebbe un sacco di soldi?

Se non esegui aggiornamenti automatici, sei più esposto agli hacker e agli exploit zero-day. Quanto danno potrebbe fare un hacker? Il tuo server ospita molte informazioni molto sensibili che, se rubate, potrebbero costarti molto di più di un paio d'ore di tempo morto?

Personalmente, sbaglio dal punto di vista della sicurezza ed eseguo aggiornamenti automatici. Ma per ridurre al minimo il potenziale di rovina di un aggiornamento, eseguo solo aggiornamenti di sicurezza e eseguo manualmente gli aggiornamenti rimanenti.

Penso che se un aggiornamento andrà in rovina, è improbabile che lo noterò fino al riavvio della macchina, nel qual caso se l'aggiornamento è stato installato manualmente o automaticamente non fa alcuna differenza.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.