Я не могу нигде найти согласованный ответ по этому поводу, поэтому решил, что задам его сам.
У меня пять серверов Ubuntu под управлением 12.04 или 14.04, если я включу автоматические обновления безопасности на них, используя unattended-upgrades
? Или мне просто нужно запускать обновления вручную каждый месяц?
Под этим я подразумеваю, безопасно ли это / может ли их включение привести к каким-либо проблемам с ОС / безопасностью? Перевешивают ли преимущества недостатки?
Это зависит от того, что в конечном итоге делает ваша машина. Запускает ли он критически важные приложения, которые НИКОГДА не могут дать сбой? Наверное, тогда не лучший вариант для автообновлений. Он находится на исходящей точке вашей сети? наверное хороший кандидат.
Это сводится к тому, чтобы взвесить безопасность и стабильность и найти приемлемые компромиссы. Скорее всего, вы не станете целью нулевого дня, но, возможно, у вас есть очень конфиденциальные данные, которые абсолютно невозможно получить, это решение, которое вы должны принять.
Я предлагаю спроектировать вашу сеть таким образом, чтобы наиболее безопасная фильтрация выполнялась на границе вашей сети (блокировка внешних приложений, интеллектуальный межсетевой экран, возможная DMZ и т. Д.), А затем обрабатывать все остальное таким образом, чтобы наиболее подходит для вашей организации - будь то ночные перезагрузки с обновлениями, еженедельные или автоматические :)
Я думаю, что было бы неплохо включить автоматическое обновление.
Я годами использовал автоматические обновления как для стабильного выпуска debian, так и для выпуска ubuntu lts, и никогда не обнаружил в нем проблем. Пока вы включаете только обновления безопасности и, возможно, регулярные обновления. И автоматические обновления не будут обновлять что-то, если для этого потребуется ввод пользователя.
Вообще говоря, если вы придерживаетесь стабильных выпусков debian, ubuntu или redhat / centos, вы можете быть уверены, что их обновления стабильны и ничего не испортят.
Если вы зависите от чего-то вроде apache, вы можете выборочно указать диспетчеру пакетов не обновлять его и сделать это вручную.
Кроме того, я скорее рискую что-то сломать, чем взломать сервер из-за пропущенных патчей безопасности.
Да. Вы должны включить эти автоматические обновления. У вас гораздо больше шансов скомпрометировать вашу систему из-за отсутствия или задержки обновления, чем если эти обновления негативно повлияют на вашу работающую систему.
Мое практическое правило заключается в том, что я оставляю обновление безопасности (и часто не связанное с безопасностью) включенным на виртуальных машинах, но я вручную планирую обновление системы на экземплярах с голым железом.
В конце концов, с виртуальной машиной и хорошей стратегией резервного копирования очень легко восстановить, в то время как с голым железом все становится сложнее.
В идеальном мире помимо производственных серверов у вас есть дополнительные непроизводственные системы, предназначенные для тестирования как (обновлений) ваших собственных приложений, так и ОС.
Только после того, как вы проверили в этой тестовой среде, что ни один из обновленных программных компонентов не нарушает вашу существующую конфигурацию, они должны быть применены к вашей производственной среде.
Это будет выступать против автоматических обновлений.
Обычно вам нужен определенный уровень автоматизации, чтобы после того, как вы запланировали обновление, вам не нужно было входить в каждую отдельную систему, чтобы вручную исправить их :)