J'ai besoin de conseils d'experts:
Notre administrateur système qui est nouveau sur Ubuntu en particulier et * nix en général est réticent à installer des mises à jour any. Son avis est que si après l'installation des mises à jour, le système devient instable et ne démarre pas? Il a des histoires d'horreur de la vie passée en tant qu'administrateur système Windows.
Certains membres de notre équipe pensent que cela est suicidaire car ne pas installer (au moins) des mises à jour de sécurité s'expose à des attaques malveillantes.
Il a été suggéré d'exécuter Sudo unattended-upgrade
pour qu'au moins des mises à jour de sécurité soient installées, même si cela nécessite parfois le redémarrage du système.
J'apprécie vraiment les commentaires d'experts à ce sujet? Merci.
Personnellement, je pense que c'est une position difficile à défendre. Les mises à jour de sécurité doivent régulièrement être installées sur les machines. Cela inclut les mises à jour de sécurité du noyau, qui nécessitent des redémarrages (sauf si vous avez envie de vivre sur Edge avec Ksplice).
Il devrait être attentif aux failles de sécurité applicables à la plate-forme au fur et à mesure qu'elles apparaissent. Récemment, notamment, nous avons vu un certain nombre de bogues d'élévation de privilèges (qui permettent aux utilisateurs normaux de devenir root). Il y a des exploits dans la nature pour au moins l'un d'entre eux (bien que je ne pense pas que cela affecte 12.04). Il existe un flux constant de bogues corrigés pour les applications de moindre importance qui corrigent l'exécution de code à distance, DOS, les failles d'escalade privée, etc. Il existe de nombreux vecteurs d'attaque corrigés régulièrement.
Cela dit; la décision finale de corriger ou non dépend entièrement du contexte. Si vous parlez d'un serveur Web accessible sur Internet ou de boîtes d'utilisateur final, votre administrateur système est fou. Si vous parlez d'un système de production interne à haute disponibilité derrière des couches de sécurité réseau dans un environnement de confiance, alors c'est un peu différent, et votre administrateur système peut être assez pragmatique.
C'est-à-dire, si la principale menace pour la boîte provient de ses propres employés, le fait de corriger quelques trous DOS vaut-il vraiment le temps d'arrêt et le risque pour la stabilité de la production? Probablement pas, non.
Bien sûr, les menaces peuvent pénétrer à l'intérieur du périmètre du réseau. Mais encore une fois, cela dépend de votre réseau, de votre entreprise, de votre configuration ... dans de nombreuses petites entreprises, cela peut déjà être pratiquement terminé. L'attaquant peut déjà avoir tous les accès dont il a besoin pour accéder à ces boîtes via des mots de passe ou des clés stockés ailleurs sur le réseau, ou via l'emprunt d'identité, le reniflement, etc. En d'autres termes, corriger quelques trous sur quelques systèmes pourrait être comme commencer à construisez une clôture après que les chevaux se soient enfuis.
Conclusion: les machines devraient vraiment voir les mises à jour de sécurité. Ce ne doit pas être un total inconnu; les systèmes de test peuvent être (et devraient être) mis en place et mis à niveau de la même manière qu'un test avant l'événement.
Mais n'oubliez jamais que la sécurité est un équilibre. Le système totalement sécurisé est à un kilomètre enterré, sans connectivité, sans alimentation et sans données. Si vous ne vous protégez que par quelques employés de confiance, à quoi cela sert-il?
Je n'ai jamais rencontré de problème avec les mises à jour d'ubuntu 12.04 devenant instables, sinon mises à jour tout fonctionnerait normalement mais les bugs ne seront jamais corrigés. Linux est assez sécurisé mais comme vous l'avez dit, il a besoin de mises à jour de sécurité. Il n'y a pas eu d'attaques sur Linux, mais vous devriez être en sécurité en installant à nouveau un logiciel antivirus.Je n'ai jamais vu de mise à jour qui rend LTS instable.Vous pouvez également choisir les mises à jour à installer dans le gestionnaire de mise à jour.
J'espère que ça aide