Aggiorna server di produzione ereditato

Di recente ho assunto lo sviluppo e la manutenzione del server di un sito Web ospitato su un'installazione Debian VPS. Adesso mi rendo conto che il server non è stato aggiornato da anni. Ci sono aggiornamenti per Nginx, Postgresql, libxml e circa 20 altri pacchetti, alcuni dei quali sono fondamentali per mantenere il sito in esecuzione e altri che non sono sicuro se siano necessari o meno.

Mi rendo conto che questi pacchetti non aggiornati potrebbero comportare un rischio significativo per la sicurezza. Essendo inesperto nella manutenzione del server, tuttavia, non sono sicuro di come svolgere l'attività di aggiornamento dei pacchetti in modo sicuro. Se qualcosa va storto, dovrò tornare finché non trovo una soluzione per mantenere il sito online. La corsa apt-get upgradesembra un grosso rischio in sé.

Hai qualche consiglio che potrebbe essere utile in una situazione come questa? Cosa faresti? Esiste un modo per "controllare la versione" dei pacchetti? Li aggiorneresti uno per uno?

Saluti.

Le persone Debian fanno un enorme sforzo per assicurare la coerenza dei pacchetti forniti attraverso i loro repository. Questo è il punto fondamentale per avere una versione chiamata stable . Quindi, nella misura in cui siete interessati ai pacchetti distribuiti in repo, non avete nulla da temere. Se desideri saperne di più e cercare ulteriori rassicurazioni, potresti voler leggere questo popolare discorso tenuto dal tre volte ex capo del progetto Debian, Stefano Zacchiroli. Non lasciarti scoraggiare dal titolo in italiano, il resto del discorso è in inglese.

Tuttavia, potrebbe esserci qualche motivo di preoccupazione per qualsiasi software non repo installato sul tuo computer, perché ovviamente non c'è alcuna garanzia che potresti trovare una versione in esecuzione con il nuovo kernel e le nuove librerie. I soliti luoghi in cui è installato il software personalizzato sono

  /opt, /usr/local, /usr/share

Puoi anche ricontrollare i pacchetti debian installati tramite

  dpkg -l | more

Si noti che alcuni software personalizzati possono essere installati tramite un pacchetto Debian, ma non tutto il software personalizzato deve essere installato in questo modo.

Ti darò due risposte al prezzo di una.

1. Se hai accesso all'hypervisor su cui gira vps potresti essere in grado di fare uno snapshot prima di aggiornare il sistema. Tjen aggiorna semplicemente la macchina e sii pronto a ripristinare l'istantanea se fai schifo.

2. Dovresti sempre avere un piano di emergenza per macchine importanti. I dischi si guastano - e a volte le parti fidate non lo sono ... Installerei un nuovo computer e documenterei esattamente come è stato fatto. In questo modo puoi facilmente testare le modifiche senza rischiare la produzione e hai sempre un fallback nel caso in cui l'ambiente di produzione venga distrutto.