Devo ter que ativar a atualização automática no Debian lenny stable?

Eu instalei um novo servidor Lenny Linux Debian que será um servidor LAMP e Subversion . Devo ter que ativar as atualizações automáticas?

Se eu ativá-lo, tenho certeza de que tenho os patches de segurança mais recentes. Também não deve interromper meu sistema, pois o Debian stable fornece apenas patches de segurança. Se eu instalá-los manualmente, posso estar em alto risco de segurança durante vários dias e semanas.

Lembre-se de que eu não sou administrador de sistema em período integral; portanto, não tenho tempo para consultar os boletins de segurança.

O que você geralmente está fazendo com seus servidores? Qual é o seu conselho?

(Os avisos sobre atualizações automáticas já foram emitidos por pôsteres anteriores.)

Dado o histórico da equipe de Segurança Debian nos últimos anos, considero os riscos de atualizações quebradas muito menos do que o benefício de ter atualizações automáticas em sistemas raramente visitados.

O Debian Lenny vem com atualizações autônomas , originárias do Ubuntu e é considerada a solução padrão para atualizações autônomas do Debian a partir do Lenny / 5.0.

Para colocá-lo em funcionamento em um sistema Debian, você precisa instalar o unattended-upgradespacote.

Em seguida, adicione estas linhas a /etc/apt/apt.conf:

APT :: Periodic :: Update-Package-Lists "1";
APT :: Periódico :: Atualização autônoma "1";

(Nota: No Debian Squeeze / 6.0 não existe /etc/apt/apt.conf. O método preferido é usar o seguinte comando, que criará as linhas acima em /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure -plow autônoma-upgrades

Um trabalho cron é executado todas as noites e verifica se há atualizações de segurança que precisam ser instaladas.

Ações de atualizações autônomas podem ser monitoradas /var/log/unattended-upgrades/. Cuidado, para que as correções de segurança do kernel se tornem ativas, você precisa reiniciar o servidor manualmente. Isso também pode ser feito automaticamente no decorrer de uma janela de manutenção planejada (por exemplo, mensalmente).

O Apt agora vem com seu próprio cron job /etc/cron.daily/apt e a documentação é encontrada no próprio arquivo:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

Basta instalar o apticron e alterar a configuração EMAIL = em /etc/apticron/apticron.conf

O Apticron irá verificar as atualizações mais recentes e fazer o download delas. NÃO os instalará. Enviará um email com as atualizações pendentes.

Meu conselho: sim, obtenha as atualizações de segurança automaticamente. Eu tinha um servidor Debian dedicado há cerca de 4 anos, sem atualizações automáticas. Eu saí de férias no Natal quando um worm foi lançado, que explorava uma vulnerabilidade conhecida na distribuição (não lembro qual). Quando voltei das férias, meu servidor foi invadido.

Para mim, o risco de quebrar o aplicativo é muito baixo, muito menor do que ser invadido por versões em execução com vulnerabilidades conhecidas.

Eu nunca uso atualizações automáticas. Eu gosto que as atualizações sejam feitas quando estou por perto, tenho tempo para limpar as coisas, se der errado. Se você não quiser lidar com os boletins de segurança, decida quanto tempo se sente confortável entre procurar atualizações e apenas decida fazer atualizações toda semana. É tão simples como: "atualização do aptitude; aptitude dist-upgrade (ou aptitude safe-upgrade)"

Prefiro dedicar um pouco de tempo a isso do que fazer com que meu servidor de e-mail desapareça de repente e não volte automaticamente.

Eu recomendaria que você configurasse o apt para verificar atualizações diariamente, mas apenas para notificá-lo de que elas estão disponíveis e não as executará até que você esteja por perto. Sempre existe a chance de uma atualização do apt-get quebrar alguma coisa ou exigir alguma entrada do usuário.

O apticron é um bom pacote para fazer isso por você, ou você pode simplesmente fazer um trabalho cron que execute algo como:

apt-get update -qq; apt-get upgrade -duyq

Eu recomendaria a atualização sempre que vir algo de alta prioridade ou maior - mas também não gosto de esperar até que haja 30 ou 40 atualizações a serem executadas - porque, se algo quebra, é mais difícil restringir exatamente qual pacote quebrou o sistema.

Além disso, dependendo dos pacotes que você está executando no servidor LAMP, você pode adicionar os repositórios debian volitile e / ou dotdeb à sua lista de repositórios, pois eles mantêm muito mais informações sobre patches e atualizações de padrões de vírus do que os repositórios padrão do debian. .

Usamos o cron-apt para automatizar downloads e, com base nos conselhos que vi aqui no SF , agora incluímos uma lista de fontes com apenas repositórios de segurança no arquivo de configuração do cron-apt, para que apenas as correções de segurança sejam instaladas automaticamente sem nenhuma ação adicional.