É geralmente seguro executar o "apt-get upgrade" (em termos de estabilidade) em um servidor de produção?

Costumo fazer logon no meu servidor Ubuntu 12.04.2 (com o Postgres 9.2.4 executando com dados de produção ao vivo) e vejo algo semelhante a:

4 packages can be updated.
4 updates are security updates.

Isso acontece a cada poucos dias, é claro. Não estou interessado em atualizações automáticas (quanto menos coisas eu puder mudar ao adormecer, melhor), mas estou sempre interessado em manter meu servidor atualizado; portanto, minha pergunta é: quando vejo resultados como é sempre considerado seguro executar apt-get upgradeou há momentos em que ele pode quebrar as coisas. Entendo que os patches nem sempre são perfeitos (portanto, o citado "sempre" no título), mas como regra geral, é considerado seguro executá-lo (esp, dado que este é um servidor de banco de dados versus algo que apenas serve arquivos CSS via Nginx )?

Geralmente, sim, isso é seguro. Porém, para pacotes críticos (Postgres, Nginx, etc.), recomendo fixar esses pacotes em uma versão específica para que não sejam atualizados. Quando o Postgres é atualizado, por exemplo, ele reinicia o servidor de banco de dados, algo que você deseja agendar em torno do tempo de inatividade planejado.

Dito isso, é sempre melhor testar as atualizações em um servidor intermediário antes de promovê-las à produção, então é importante pensar em adicionar ao seu processo de implantação.

Aptidão tem mais fácil de lembrar comandos: aptitude safe-upgradevs. aptitude full-upgrade. Ainda é uma boa idéia instalar, apt-listchangespara que você receba informações sobre as alterações nos pacotes atualizados e a opção de cancelar a atualização.

Sim e não. A maioria dos aplicativos está OK, mas alguns aplicativos podem não estar muito felizes com a atualização.

Eu vi exemplos em que aplicativos usando java de 1.6.29 a 1.6.30 quebram o aplicativo. Também vi o mysql quebrando entre 5.0.X 5.0.X + 1 (Não se lembre dos números exatos aqui).

Os aplicativos do sistema devem estar bem, mas você deve ler atentamente as notas de versão dos aplicativos que o servidor está realmente fornecendo.

Leia o que o nginx muda, tente entender se há alguma alteração que possa afetar sua configuração específica. Quanto mais avançado você usa um aplicativo, mais fácil é quebrar.