Я установил новый Linux Debian lenny сервер, который будет ЛАМПА и Subversion сервер. Должен ли я включать автоматические обновления?
Если я включу его, я уверен, что у меня установлены последние исправления безопасности. Это также не должно нарушить мою систему, поскольку стабильная версия Debian предоставляет только исправления безопасности. Если я установлю их вручную, я могу подвергнуться высокому риску безопасности в течение нескольких дней и недель.
Имейте в виду, что я не являюсь системным администратором на полную ставку, поэтому у меня нет времени просматривать бюллетени по безопасности.
Что вы обычно делаете со своими серверами? Что вы посоветуете?
(Предупреждения об автоматических обновлениях уже были озвучены на предыдущих плакатах.)
Учитывая послужной список группы безопасности Debian за последние несколько лет, я считаю, что риски неработающих обновлений гораздо меньше, чем преимущества автоматических обновлений в редко посещаемых системах.
Debian Lenny поставляется с автоматические обновления, который возник из Ubuntu и считается де-факто решением для автоматического обновления Debian, начиная с Lenny / 5.0.
Чтобы запустить его в системе Debian, вам необходимо установить unattended-upgrades пакет.
Затем добавьте эти строки в /etc/apt/apt.conf:
APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1";
(Примечание: в Debian Squeeze / 6.0 нет /etc/apt/apt.conf. Предпочтительный метод - использовать следующую команду, которая создаст указанные выше строки в /etc/apt/apt.conf.d/20auto-upgrades:)
sudo dpkg-reconfigure -plow unattended-upgrades
Затем каждую ночь запускается задание cron, которое проверяет наличие обновлений безопасности, которые необходимо установить.
Действия при автоматическом обновлении можно отслеживать в /var/log/unattended-upgrades/. Будьте осторожны, чтобы исправления безопасности ядра стали активными, вам необходимо перезагрузить сервер вручную. Это также можно сделать автоматически в ходе планового (например, ежемесячного) технического обслуживания.
Теперь у Apt есть собственное задание cron /etc/cron.daily/apt, а документация находится в самом файле:
#set -e
#
# This file understands the following apt configuration variables:
#
# "APT::Periodic::Update-Package-Lists=1"
# - Do "apt-get update" automatically every n-days (0=disable)
#
# "APT::Periodic::Download-Upgradeable-Packages=0",
# - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
# "APT::Periodic::AutocleanInterval"
# - Do "apt-get autoclean" every n-days (0=disable)
#
# "APT::Periodic::Unattended-Upgrade"
# - Run the "unattended-upgrade" security upgrade script
# every n-days (0=disabled)
# Requires the package "unattended-upgrades" and will write
# a log in /var/log/unattended-upgrades
#
# "APT::Archives::MaxAge",
# - Set maximum allowed age of a cache package file. If a cache
# package file is older it is deleted (0=disable)
#
# "APT::Archives::MaxSize",
# - Set maximum size of the cache in MB (0=disable). If the cache
# is bigger, cached package files are deleted until the size
# requirement is met (the biggest packages will be deleted
# first).
#
# "APT::Archives::MinAge"
# - Set minimum age of a package file. If a file is younger it
# will not be deleted (0=disable). Usefull to prevent races
# and to keep backups of the packages for emergency.
Мой совет: да, получайте обновления безопасности автоматически. Около 4 лет назад у меня был выделенный сервер Debian без автоматических обновлений. Я уехал в отпуск под Рождество, когда был выпущен червь, который использовал известную уязвимость в дистрибутиве (не помню, какой именно). Когда я вернулся из отпуска, мой сервер взломали.
Для меня риск взлома приложения очень низок, намного ниже, чем быть взломанным с помощью версий с хорошо известными уязвимостями.
Просто установите apticron и измените настройку EMAIL = в /etc/apticron/apticron.conf
Apticron проверит наличие последних обновлений и загрузит их. Он НЕ установит их. Он отправит вам письмо с ожидающими обновлениями.
Я никогда не использую автоматические обновления. Мне нравится делать обновления, когда у меня есть время, чтобы все исправить, если что-то пойдет не так. Если вы не хотите иметь дело с бюллетенями по безопасности, решите, сколько времени вам удобно между проверкой обновлений, и просто решите делать обновления каждую неделю. Это очень просто: «aptitude update; aptitude dist-upgrade (или aptitude safe-upgrade)»
Я предпочитаю посвятить этому немного времени, чем чтобы мой почтовый сервер внезапно отключился и не вернулся автоматически.
Я бы порекомендовал вам настроить apt для ежедневной проверки обновлений, но только для уведомления вас о том, что они доступны, а не выполнять их, пока вы не будете рядом. Всегда есть шанс, что apt-get upgrade что-то сломает или потребует ввода данных пользователем.
аптикрон - хороший пакет, чтобы сделать это за вас, или вы можете просто создать задание cron, которое выполняет что-то вроде:
apt-get update -qq; apt-get upgrade -duyq
Я бы рекомендовал обновиться каждый раз, когда вы что-то видите высокий приоритет или выше, но я также не люблю ждать, пока будет выполнено 30 или 40 обновлений, потому что тогда, если что-то сломается, будет труднее сузить круг вопросов, какой именно пакет сломал вашу систему.
Кроме того, в зависимости от того, какие пакеты вы используете на своем сервере LAMP, вы можете добавить debian volitile и / или dotdeb репозиториев в ваш список репозиториев, поскольку они хранят гораздо больше информации об исправлениях и обновлениях шаблонов вирусов, чем стандартные репозитории debian.
Мы используем cron-apt для автоматизации загрузок, и, основываясь на совете, который я видел здесь на SF Теперь мы включаем список источников, содержащий только репозитории безопасности, в файл конфигурации cron-apt, поэтому автоматически устанавливаются только исправления безопасности без каких-либо дополнительных действий.