web-dev-qa-db-fra.com

Devrais-je avoir pour activer la mise à jour automatique sur Debian Lenny Stable?

J'ai installé un nouveau serveur Linux Debian Lenny serveur qui sera un [~ # ~ #] [~ # ~ # ~] et a subversion serveur. Dois-je avoir pour activer les mises à jour automatiques?

Si je l'active, je suis sûr que j'ai les derniers correctifs de sécurité. Il ne devrait pas non plus casser mon système car Debian Stable ne fournit que des correctifs de sécurité. Si je les installe manuellement, je peux être sur un risque élevé de sécurité pendant plusieurs jours et semaine.

N'oubliez pas que je ne suis pas un administrateur système à temps plein, alors je n'ai donc pas le temps de regarder des bulletins de sécurité.

Qu'est-ce que tu fais habituellement avec tes serveurs? Quel est ton consseille?

25
user37220

(Les avertissements concernant les mises à niveau automatiques ont déjà été exprimées par des affiches précédentes.)

Compte tenu de l'enregistrement de piste de l'équipe de sécurité Debian au cours des dernières années, je considère que les risques de mises à jour brisées sont beaucoup moins importantes que l'avantage d'avoir des mises à jour automatiques sur des systèmes rarement visités.

Debian Lenny est livré avec mises à niveau sans surveillance , originaire d'Ubuntu et est considérée comme la solution de défact pour des améliorations sans surveillance pour Debian à partir de Lenny/5.0.

Pour le réaliser et être exécuté sur un système Debian, vous devez installer le unattended-upgrades emballer.

Ajoutez ensuite ces lignes à /etc/apt/apt.conf:

[.____] APT :: périodique :: update-package-listons "1"; 
 apt :: périodique :: non surveillance-mise à niveau "1"; [.____];

(Remarque: Dans Debian Squeeze/6.0, il n'y a pas /etc/apt/apt.conf. La méthode préférée consiste à utiliser la commande suivante, qui créera les lignes ci-dessus dans /etc/apt/apt.conf.d/20auto-upgrades :)

 Sudo DPKG-RECONFIGURE - PLOW Mises à niveau sans surveillance 

Un travail cron est ensuite exécuté tous les soirs et vérifie s'il existe des mises à jour de sécurité qui doivent être installées.

Les actions de mises à niveau sans surveillance peuvent être surveillées dans /var/log/unattended-upgrades/. Soyez méfiant, que pour les correctifs de sécurité du noyau deviennent actifs, vous devez redémarrer le serveur manuellement. Cela peut également être fait automatiquement au cours d'une fenêtre de maintenance planifiée (par mois).

28
Michael Renner

APT vient maintenant avec son propre travail cron /etc/cron.daily/apt et documentation se trouve dans le fichier lui-même:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.
6
tomdeb

Il suffit d'installer apticron et de modifier l'e-mail = réglage dans /etc/apticron/apticron.conf

Apticron vérifiera les dernières mises à jour et les téléchargera. Cela ne les installera pas. Il vous enverra un courrier avec les mises à jour en attente.

5
Dax

Mon conseil: Oui, obtenez les mises à jour de sécurité automatiquement. J'ai eu un serveur debian dédié il y a environ 4 ans, sans mises à jour automatisées. Je suis allé en vacances autour de Noël lorsqu'un ver a été libéré qui a exploité une vulnérabilité connue dans la distribution (ne vous en souvenez pas. Quand je suis rentré de vacances, mon serveur a été piraté.

Pour moi, le risque de casser la demande est très faible, beaucoup plus bas que d'être piraté par des versions de course avec des vulnérabilités bien connues.

5
Julien

Je n'utilise jamais les mises à jour automatiques. J'aime les mises à niveau à faire quand je suis autour d'avoir le temps de nettoyer les choses si cela va mal. Si vous ne voulez pas traiter avec les bulletins de sécurité, décidez combien de temps vous êtes à l'aise entre la vérification des mises à jour et décidez simplement de faire des mises à jour chaque semaine. C'est aussi simple que: "Mise à jour de l'aptitude; Aptitude dist-Upgrade (ou Aptitude Safe-Upgrade)"

Je préfère consacrer un peu de temps à cela que pour que mon serveur de messagerie disparaisse soudainement et ne pas revenir automatiquement.

0
kbyrd

Je vous recommanderais de configurer APT pour rechercher des mises à jour quotidiennement, mais pour vous informer que des informations qu'elles sont disponibles et ne les exécutines pas jusqu'à ce que vous soyez autour. Il y a toujours une chance qu'un système apt-get va casser quelque chose ou nécessiter une entrée de l'utilisateur.

apticron est un bon paquet pour le faire pour vous ou pour que vous puissiez simplement faire un travail cron qui exécute quelque chose comme:

apt-get update -qq; apt-get upgrade -duyq

Je recommanderais une mise à niveau à tout moment, vous voyez quelque chose haute priorité ou plus - mais je n'aime pas non plus attendre jusqu'à ce qu'il y ait 30 ou 40 mises à niveau pour effectuer - car alors que quelque chose rompt, il est plus difficile de réduire la rétrécie. exactement quel paquet cassa votre système.

En outre, en fonction des packages que vous exécutez sur votre serveur de lampe, vous pouvez ajouter des référentiels debian volitle et/ou dotdeb à votre liste de référentiel, car ils gardent beaucoup Plus sur des correctifs et des mises à jour des modèles de virus que les repos standard de Debian font.

0
Brent

Nous utilisons Cron-apt pour automatiser des téléchargements et basé sur des conseils que j'ai vu ici sur SF Nous incluons maintenant une liste source avec juste des référentiels de sécurité dans le fichier de configuration Cron-apt, il est donc possible d'installer automatiquement les correctifs de sécurité. sans autre action.

0
nedm