Я использую Debian Stable на всех наших серверах. Debian Stable всегда время от времени получает обновления безопасности и другие важные обновления, включая обновления ядра. Нужно ли сразу обновлять все пакеты, включая ядро? Какая политика обновления сервера должна применяться чаще всего?
Подпишитесь на Список рассылки объявлений о безопасности Debian. В этих письмах содержится информация о типе и серьезности уязвимости, исправляемой обновлением. Вы можете использовать эту информацию, чтобы определить, насколько критично обновление в вашей ситуации.
По моему опыту, QA стабильной версии Debian достаточно хороша, чтобы сразу же устанавливать все обновления. Только с ядром я откладываю обновление / перезагрузку, если это не является серьезной проблемой безопасности.
В нашем случае, вообще говоря, все обновления безопасности происходят вскоре после их поступления.
Для общедоступных или клиентских серверов сначала убедитесь, что вы применили обновленные пакеты к тестовой среде, чтобы вы могли дважды проверить, что обновление вряд ли повлияет на службы, предоставляемые этими серверами, - если вы обнаружите проблему (возможно, приложение случайно создало использование «неопределенного» поведения, измененного в результате изменений, внесенных в исправление безопасности), тогда вы будете предупреждены и сможете решить эту проблему перед применением обновлений в реальной среде.
Если одно из обновлений не касается эксплойта, который уже распространяется в дикой природе (эти вещи, как правило, являются большими новостями, так что, надеюсь, я знаю), я немного сдержусь и, возможно, внесу изменения на день позже. Это позволяет не быть одним из пионеров, которые скальпированы обновлением, при тестировании которого было упущено что-то существенное. Это особенно верно в отношении обновлений ядра и SSHd на машинах, к которым у меня нет простого физического доступа (например, на удаленном контроллере домена без KVMoIP) - тех вещей, которые в случае поломки могут помешать машине возобновить работу после загрузки или удаленно управляемый,
Это зависит от среды, в которой вы работаете. Если сервер абсолютно не обязательно должен быть 24/7/365 и некоторое время простоя приемлемо, продолжайте и обновляйте все по своему желанию.
Но чем критичнее окружающая среда, тем осторожнее нужно быть.
При обновлении всегда важно оценить, а) необходимо ли и б) безопасно ли выполнять обновление (продолжает ли пользовательское приложение Foo работать даже после обновлений?). Не паникуйте и не торопитесь обновлять все сразу, всегда сначала проверяйте обновления в какой-нибудь тестовой среде.