Linux

Имеет ли смысл включать автоматическое обновление в стабильной версии Debian lenny?

Я установил новый сервер Linux Debian lenny, который будет LAMP и сервером Subversion. Должен ли я включить автоматическое обновление? Если я включу его, я буду уверен, что у меня есть последние исправления безопасности. Это также не должно сломать мою систему, так как Debian stable предоставляет только исправления безопасности. Если я буду устанавливать их вручную, я могу подвергаться высокому риску безопасности в течение нескольких дней и недель.

Пожалуйста, имейте в виду, что я не работаю системным администратором полный рабочий день, поэтому у меня нет времени на просмотр бюллетеней безопасности.

Что вы обычно делаете со своими серверами? Что вы можете посоветовать?

Ответ 1

Учитывая послужной список команды безопасности Debian за последние несколько лет, я считаю, что риск неработающих обновлений гораздо меньше, чем польза от автоматических обновлений на редко посещаемых системах. Debian Lenny поставляется с программой unattended-upgrades, которая пришла из Ubuntu и считается де-факто решением для неуправляемых обновлений для Debian, начиная с Lenny/5.0. Чтобы запустить его на системе Debian, вам нужно установить пакет unattended-upgrades.

Затем добавьте эти строки в /etc/apt/apt.conf:

APT::Periodic::Update-Package-Lists "1";

APT::Periodic::Unattended-Upgrade "1";

Примечание: В Debian Squeeze/6.0 нет /etc/apt/apt.conf. Предпочтительным методом является использование следующей команды, которая создаст вышеуказанные строки в /etc/apt/apt/apt.conf.d/20auto-upgrades:

sudo dpkg-reconfigure -plow unattended-upgrades

Затем ночью запускается задание cron, которое проверяет, есть ли обновления безопасности, которые необходимо установить. Действия unattended-upgrades можно отслеживать в /var/log/unattended-upgrades/. Имейте в виду, что для того, чтобы исправления безопасности ядра стали активными, необходимо перезагрузить сервер вручную. Это также может быть сделано автоматически во время планового (например, ежемесячного) технического обслуживания.

Ответ 2

Я бы рекомендовал вам настроить apt на ежедневную проверку обновлений, но уведомлять вас только о том, что они доступны, и не выполнять их, пока вы находитесь рядом. Всегда есть шанс, что обновление apt-get сломает что-то или потребует ввода данных пользователем.

apticron – хороший пакет, который сделает это за вас, или вы можете просто сделать задание cron, которое выполняет что-то вроде:

apt-get update -qq; apt-get upgrade -duyq

Я бы рекомендовал обновляться каждый раз, когда вы видите что-то с высоким приоритетом или выше, но я также не люблю ждать, пока не будет выполнено 30 или 40 обновлений, потому что потом, если что-то сломается, будет сложнее определить, какой именно пакет сломал вашу систему. Также в зависимости от того, какие пакеты вы используете на своем LAMP-сервере, вы можете добавить репозитории debian volatile и/или dotdeb в свой список репозиториев, поскольку они следят за обновлениями патчей и вирусных шаблонов гораздо лучше, чем стандартные репозитории debian.

Ответ 3

Я никогда не использую автоматические обновления. Мне нравится, когда обновления выполняются, когда я нахожусь рядом и имею время, чтобы все исправить, если что-то пойдет не так. Если вы не хотите иметь дело с бюллетенями безопасности, решите, как долго вам удобно проверять обновления, и просто решите обновлять систему каждую неделю. Это так же просто, как: «aptitude update; aptitude dist-upgrade (или aptitude safe-upgrade)».

Я предпочитаю посвятить этому немного времени, нежели чтобы мой почтовый сервер внезапно исчез и не восстановился автоматически.

Ответ 4

Мой совет: да, получайте обновления безопасности автоматически. У меня был выделенный сервер Debian около 4 лет назад без автоматических обновлений. Я уехал в отпуск, когда был выпущен эксплойт, который использовал известную уязвимость в дистрибутиве (не помню, какую именно). Когда я вернулся из отпуска, мой сервер был взломан.

Для меня риск сломать приложение очень низок, гораздо ниже, чем быть взломанным, используя версии с известными уязвимостями.

Ответ 5

Теперь Apt поставляется с собственным заданием cron /etc/cron.daily/apt, а документация находится в самом файле:

#set -e

#    

# Этот файл понимает следующие переменные конфигурации apt:

#

#  "APT::Periodic::Update-Package-Lists=1"

# - Выполнять "apt-get update" автоматически каждые n дней (0=отключить)

#

#  "APT::Periodic::Download-Upgradeable-Packages=0",

# - Выполнять "apt-get upgrade --download-only" каждые n дней (0=отключить)

#

#  "APT::Periodic::AutocleanInterval"

#  - Выполнять "apt-get autoclean" каждые n дней (0=отключить)

#

#  "APT::Periodic::Unattended-Upgrade"

# - Запуск сценария обновления безопасности "unattended-upgrade"

# каждые n дней (0=отключено)

# Требует пакет "unattended-upgrades" и будет записывать

# в журнал в /var/log/unattended-upgrades

#

#  "APT::Archives::MaxAge",

# - Установить максимально допустимый возраст файла пакета кэша. Если файл кэш-пакета

# старше определенной величины, он удаляется (0=запрещено).

#

#  "APT::Archives::MaxSize",

# - Установить максимальный размер кэша в МБ (0=отключить). Если кэш

# больше, кэшированные файлы пакетов удаляются до тех пор, пока не будет выполнено требование размера.

# Также будет выполнено требование по размеру (самые большие пакеты будут удалены

# в первую очередь).

#

#  "APT::Archives::MinAge"

# - Установить минимальный возраст файла пакета. Если файл младше, он

# не будет удален (0=отключить). Используется для предотвращения удаления

# и для сохранения резервных копий пакетов на крайний случай.

Схожие статьи

Linux

Какой самый простой способ отправить зашифрованное письмо?

Linux

Действительно ли изменение номера порта по умолчанию повышает безопасность?

Linux

Цикл по содержимому файла в Bash

Linux

Кэширование/предварительная загрузка файлов Linux в RAM