Я пытаюсь поддерживать несколько модулей ubuntu в актуальном состоянии и исправлять их (10.4.2 LTS), одно предложение, которое я получил, - это настройка автоматических обновлений (https://help.ubuntu.com/community/AutomaticSecurityUpdates).
В прошлом я был против установки автоматических обновлений, в основном из-за паранойи, что это что-то сломает в процессе обновления. Однако теперь я начинаю сомневаться, насколько это допустимо (и насколько это опасно по сравнению с потенциально непропатченными серверами). Это разумная идея?
Мы также находимся в процессе настройки Puppet, однако до создания модулей / миграции серверов в Puppet еще далеко.
Я думаю, это зависит от вашей ситуации - вы должны взвесить риски.
Какой ущерб может быть нанесен неудачным обновлением? Это рабочий сервер, обрабатывающий заказы в режиме реального времени? Будет ли час простоя стоить вам больших денег?
Если вы не запускаете автоматические обновления, вы больше подвержены хакерам и уязвимостям нулевого дня. Какой ущерб может нанести хакер? На вашем сервере хранится много очень конфиденциальной информации, которая в случае кражи может стоить вам намного дороже, чем пара часов простоя?
Лично я ошибаюсь в вопросах безопасности и запускаю автоматические обновления. Но чтобы свести к минимуму вероятность сбоя обновления, я делаю только обновления безопасности, а остальные обновления делаю вручную.
Я думаю, что если обновление будет неудачным, вряд ли я заметлю это до тех пор, пока машина не будет перезагружена, и в этом случае, было ли обновление установлено вручную или автоматически, не имеет значения.
В недавнем прошлом у меня были обновления пакетов Ubuntu, которые нанесли серьезный ущерб, поэтому я бы рекомендовал вручную развернуть пакеты на этом этапе (после некоторого тестирования или, по крайней мере, снимка виртуальной машины) с чем-то вроде apticron, чтобы отправить вам электронное письмо о ожидающие исправления.
Тем не менее, инструмент централизованного управления обновлениями был бы намного лучше. К сожалению, похоже, не было большой прогресс.