Aggiornamenti automatici della sicurezza sul server di compressione Debian

Per un server di compressione Debian di produzione, quali sono le migliori pratiche o raccomandazioni per la gestione degli aggiornamenti di sicurezza? Ho visto diversi articoli su cron-apt, apticron, unattended-updates, i lavori apt cron, ecc, che scaricare e / o installare gli aggiornamenti di sicurezza non appena vengono rilasciati.

Sembra che ci siano due filosofie su questo:

1. Scarica tutti gli aggiornamenti di sicurezza e avvisa con un'e-mail, quindi fai entrare un amministratore e applica manualmente gli aggiornamenti.

2. Scarica e installa tutti gli aggiornamenti di sicurezza man mano che vengono rilasciati, inviando una notifica e-mail per far sapere all'amministratore quali pacchetti sono stati aggiornati.

Per questi due casi, qual è il modo consigliato per configurare gli aggiornamenti di sicurezza automatici su un server Debian?

Preferisco il primo scenario. Uso personalmente apticronsul mio sistema per avvisarmi di nuovi aggiornamenti. Dato che sono online molto di giorno e di sera, leggo queste mail abbastanza velocemente e applico gli aggiornamenti da solo. Questo per il motivo che a volte i pacchetti sono in conflitto e non voglio correre alcun rischio che il mio server si blocchi a causa di un aggiornamento automatico.

Ma questa è una visione personale. Dipende da quanto tempo devi aggiornare i tuoi server. Alcune persone preferiscono l'aggiornamento automatico e non hanno mai problemi con esso.

Sono andato con il secondo scenario unattended-upgradesusando queste istruzioni .

È importante notare le opzioni disponibili per te unattended-upgrades. Installo solo gli aggiornamenti di sicurezza automaticamente e se qualcosa va storto durante il processo di aggiornamento si interrompe e ricevo un'e-mail a riguardo.