Esta resposta à questão de atualização do desktop será aplicada para servidores.
Qual é a melhor maneira de aplicar automaticamente atualizações de segurança? Ou alguma atualização para esse assunto?
Esta resposta à questão de atualização do desktop será aplicada para servidores.
Note que algumas atualizações (em um servidor, tende a ser a maioria atualizações, por experiência pessoal) requerem a reinicialização de um ou mais serviços, ou mesmo a reinicialização de todo o servidor, para entrar em vigor. Reiniciar serviços, muito menos reinicializar, não é realmente uma tarefa que eu me sinto confortável em automatizar.
Eu uso o cron-apt no meu servidor para automatizar o download, mas não a instalação, atualizações. Ele faz isso uma vez por dia, em vez de ser executado como um daemon. Ele me envia um email quando há atualizações aguardando para serem instaladas.
Quando recebo um e-mail desse tipo, faço login quando é conveniente e instalo as atualizações e, em seguida, reinicio todos os serviços que precisarem ser reiniciados.
Normalmente não é óbvio quais serviços precisam ser reiniciados. Por exemplo, uma atualização para o libssl geralmente requer a reinicialização de praticamente todos os serviços web, de correio, SSH etc. existentes. Ou uma atualização para a libpng pode requerer o reinício do Apache porque o PHP possui um link para ele.
Portanto, uso checkrestart para verificar quais serviços devem ser reiniciados após cada atualização. Isso é fornecido pelo pacote debian-goodies .
Eu também sei que se o kernel for atualizado, eu sempre preciso reiniciar.