È sicuro eseguire aggiornamenti apt-get each notte?

È sicuro eseguire aggiornamento apt-get -e tramite cron su un server di produzione?

  • Esegui uno script di shell come un altro utente
  • Devo usare cron.hourly o crontab?
  • Quanto spazio SWAP su un sistema da 2-4GB?
  • Supporti di archiviazione USB - problemi di integrità dei dati su Linux
  • Il server si blocca sotto il carico
  • Imansible installare mysql-server in Ubuntu
  • 11 Solutions collect form web for “È sicuro eseguire aggiornamenti apt-get each notte?”

    Può essere sicuro o più preciso il livello di rischio può essere con la tua gamma di comfort. Il livello di rischio dipenderà da diversi fattori.

    Avete un buon sistema di backup che vi permetterà di ritornare rapidamente se si rompe qualcosa?

    Stai spedendo i registri dal server a un sistema remoto, quindi se la scatola va in pancia saprai cosa è successo?

    Sei disposto ad accettare la possibilità che qualcosa possa rompersi e dovresti fare un rapido ripristino / ripristino del sistema se qualcosa fallisce?

    Hai compilato manualmente qualsiasi cosa da soli o hai assolutamente installato tutto sul tuo sistema dai repository ufficiali? Se hai installato qualcosa a livello locale, c'è la possibilità che un cambiamento a monte possa rompere il tuo software locale mantenuto / installato.

    Qual è il ruolo di questo sistema? È qualcosa che non sarebbe stato perduto se fosse morto (ad esempio un server DNS secondario) o è il pezzo fondamentale dell'infrastruttura (ad es. Server LDAP o file server primario).

    Vuoi impostare questo perché nessuno responsabile del server ha il tempo di mantenere le patch di protezione? Il rischio potenziale di essere compromesso da una vulnerabilità non patch può essere più elevato rispetto al potenziale per un cattivo aggiornamento.

    Se davvero pensi di volerlo, ti suggerisco di utilizzare uno degli strumenti che sono già là fuori per questo scopo, come cron-apt. Hanno una certa logica per essere più sicuri quindi solo un apt-get -y update cieco.

    Generalmente è sicuro, ma non lo consiglierei per una semplice ragione:

    • Si perde uno stato noto.

    Nell'ambiente di produzione, è necessario sapere esattamente che cosa è su di esso, o che cosa dovrebbe essere su di esso, e essere in grado di riprodurre tale stato con facilità.

    Eventuali modifiche dovrebbero essere effettuate tramite il process di gestione dei cambiamenti, in cui l'azienda è pienamente consapevole di ciò che stanno entrando, in modo da poter poi analizzare cosa è andato storto e così via.

    Gli aggiornamenti di notte rendono imansible o difficile fare questo tipo di analisi.

    Sì, finché si parla di aggiornamento e non aggiornamento . Apt lo farà anche per te se metti la linea:

     APT::Periodic::Update-Package-Lists "1"; 

    in un file sotto /etc/apt/apt.conf.d/

    Potrei farlo sulla stabile, o su Ubuntu, ma non su un branch instabile, o addirittura sul branch di prova.

    Anche se, quando ho messo il mio cappello di sysadmin, credo che dovrei applicare manualmente tutti gli aggiornamenti, in modo da poter mantenere la coerenza tra i server – e anche se, se un giorno un servizio si rompe, so quando ho aggiornato l'aggiornamento servizio. Questo è qualcosa che non potrei controllare se gli aggiornamenti procedevano automaticamente.

    Utilizziamo l'aggiornamento stabile e pianificato apt-get per martedì sera nella maggior parte dei nostri sisthemes Debian (coincide con gli aggiornamenti di Microsoft "patch tiegin"). Funziona bene. Abbiamo anche tutti gli events di aggiornamento registrati a Nagios, per cui possiamo vedere una storia di quando gli ultimi aggiornamenti sono stati eseguiti su qualsiasi server.

    Quando si specifica che si tratta di un server "produzione", significa che ci sono anche server di sviluppo e test? In caso affermativo, le patch devono essere sottoposte a test su tali sisthemes prima di essere installati nella scatola di produzione.

    Non lo farei. Le patch si verificano e non vorrei che un sistema venisse a mancare nel bel mezzo della notte o mentre ero altrimenti non disponibile. Dovrebbero essere spinti in una window di manutenzione quando un amministratore è disponibile per monitorare l'aggiornamento.

    Ricordo di averlo fatto in un lavoro precedente; Ho finito con problemi sul server di produzione perché un aggiornamento ha riscritto automaticamente un file di configuration.

    Pertanto, vi consiglio di controllare gli aggiornamenti.

    Se l'alternativa applica aggiornamenti in modo irregolare, non segui triggersmente gli aggiornamenti della protezione e stai eseguendo un Lenny stabile in vaniglia, quindi l'aggiornamento automatico probabilmente aumenta la sicurezza della macchina, in quanto aggiornerà più velocemente i fori di sicurezza noti.

    Ubuntu Server dispone di un pacchetto che gli permetterà di aggiornare automaticamente gli aggiornamenti della protezione. Ti permette di elencare anche alcune applicazioni. Parla anche di apticron che ti invierà via email quando ci sono aggiornamenti disponibili per il tuo server.

    Potrai saperne di più sulle pagine seguenti a seconda della versione di Ubuntu Server in esecuzione.

    • 8.10
    • 9.04
    • 9.10

    EDIT: Supponendo che stai eseguendo Ubuntu. Anche se avrei scommesso gli stessi pacchetti e la soluzione sono disponibili su Debian.

    Date un'occhiata a cron-apt. Consente di scaricare gli elenchi e i file di pacchetti per impostazione predefinita, ma è ansible sintonizzarlo per submit messaggi di posta elettronica o addirittura aggiornare il sistema.

    Ciò dipende dalla vostra infrastruttura. Se ho una singola macchina, di solito rivedo gli aggiornamenti e vedo cosa voglio o cosa posso evitare. Se sto usando un cluster, a volte spingo i cambiamenti su una macchina, e vedo come vanno, e poi lo lancio alle altre macchine se tutto sembra okay.

    Aggiornamenti del database Mi tengo sempre attento.

    Se si dispone di un file system che support lo shot di snapshot, può essere molto utile per eseguire lo snapshot del sistema, applicare gli aggiornamenti e quindi avere la possibilità di riavvolgere le modifiche se qualcosa va orribilmente sbagliato.

    Prova a scoprire perché un pacchetto viene aggiornato? è la correzione di bug? sicurezza fix? è un command locale o un servizio di networking remota ?. Il software è stato testato con i nuovi aggiornamenti?

    Gli aggiornamenti del kernel dovrebbero essere avvicinati con maggiore caucanvas. Prova a scoprire perché il kernel viene aggiornato? Hai davvero bisogno di questi cambiamenti? farà effetto sulla tua richiesta. Devo applicare questo per la sicurezza?

    9 volte su 10 aggiornamenti software andranno senza problemi, ma sono quei tempi rari che lasciano la macchina come un mucchio di spazzatura, hanno un rollback o un piano di ripristino del sistema in atto.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.