Com que freqüência devo atualizar nosso servidor Linux?

Eu corro apt-get update -qq; apt-get upgrade -duyq diariamente. Isso verificará as atualizações, mas não as fará automaticamente.

Depois, posso executar as atualizações manualmente enquanto estou assistindo e posso corrigir qualquer coisa que possa dar errado.

Além das preocupações de segurança de manter um sistema com patches, acho que se eu deixar muito tempo entre os patches, acabo com um monte de pacotes que precisam ser atualizados, e isso assusta me muito mais do que apenas atualizar um ou dois a cada semana ou assim. Portanto, tenho a tendência de executar meus upgrades semanalmente ou, se eles forem de alta prioridade, diariamente. Isso tem a vantagem adicional de saber qual pacote quebrou seu sistema (ou seja, se você está atualizando apenas um par de cada vez)

Eu sempre atualizo os sistemas menos críticos primeiro. Eu também tenho um "plano de reversão" no caso de não conseguir consertar o sistema. (Como a maioria dos nossos servidores é virtual, esse plano de reversão geralmente consiste em fazer um snapshot antes do upgrade para o qual eu posso reverter se necessário)

Supondo que você esteja executando o lançamento estável do Debian, a maioria dos patches será relacionada a segurança ou bugs, o que significa que não haverá muitas mudanças importantes entre as versões de qualquer pacote. De acordo com os patches da política de correção do debian, os patches também devem ter sido testados por algum tempo antes de serem movidos para o ramo estável pelo mantenedor. Obviamente, isso não impedirá quebras durante o patch, mas deve impedi-las na maioria dos casos.

Seria prudente garantir que seu servidor de teste seja mantido atualizado e que quaisquer pacotes que apresentem problemas que afetem você e seus servidores sejam mantidos atualizados. Todos os pacotes que possuem avisos de segurança contra eles devem ser atualizados assim que você souber que o patch está estável.

O Debian geralmente é um sistema operacional muito estável, e você não deve se preocupar excessivamente com quebras, mas sempre leia o que será atualizado antes de ser atualizado e fique de olho em qualquer coisa que pareça estranha. Eu uso o VCS no meu / etc / dir também para garantir que qualquer alteração no arquivo de configuração possa ser vista com o comando 'git diff'.

Eu faço um dry run (primeiro) para ver o que vai ser atualizado. Às vezes, as bibliotecas (vamos chamá-lo de libfoo para este exemplo) mudam sua API, o que quebra programas que nós mesmos escrevemos / instalamos. Se alguma biblioteca crítica for atualizada, eu pego a fonte e tento reconstruir nossas coisas antes de atualizar.

Eu também verifico que não estamos pulando para uma versão intermediária de algum serviço público, ou seja, o apache, etc. Eu prefiro ficar um ano atrás e não encontrar uma quebra aleatória, a menos que a atualização seja crítica.

Se você é um administrador de sistema, deve estar puxando feeds RSS de sites como Secunia , que deve informar você com bastante antecedência se sua distro vai estar empurrando alguns patches.

Nunca, nunca apenas atualize / atualize cegamente. Infelizmente, a tarefa de saber o que está quebrado recai sobre você, não sobre seu gerenciador de pacotes de distribuição, especialmente se seus sistemas suportarem programadores.

Onde eu trabalho, temos um processo bastante extenso que envolve o uso de software chamado PatchLink para nos notificar sobre as atualizações relacionadas à segurança mais importantes, e as aplicamos após o teste, em pacote por pacote. Nós temos milhares de servidores.

Se você tiver apenas dois servidores, o processo deverá ser muito mais simples. Embora eu não ache que fazer uma "atualização / atualização do apt-get" seja a sua melhor aposta.

Eu monitoraria patches para o software que você está executando e tomaria decisões com base nas correções dessas versões sobre quando atualizar.

Como você tem um servidor de teste, obviamente, sempre teste a atualização antes de aplicá-la.

Eu gosto do cron-apt para automatizar esse processo, mas configurando-a especificamente para automatizar atualizações relacionadas à segurança é uma idéia muito inteligente - você pode atualizar manualmente o que precisa. Eu estava usando o cron-apt para todas as atualizações, mas realmente mudou isso com base em sua resposta. Se você gostar, provavelmente deve votar sua resposta em vez de este.

No debian eu instalei o cron-apt e editei seu arquivo de configuração para me enviar se houver alguma alteração. desta forma eu sou notificado se houver atualizações para os meus sistemas e fazer as atualizações manualmente

Na mesma linha do cron-apt, você deve dar uma olhada no pacote de atualizações automáticas link .

É muito fácil de configurar e permite que você tenha atualizações de segurança baixadas e aplicadas automaticamente, mas deixe outras atualizações para atualização manual (ou, a seu critério, atualize tudo!).

O Guia Oficial do Servidor Ubuntu tem uma seção razoavelmente detalhada sobre o uso do pacote de atualizações autônomas. > link

Observação: dependendo do seu nível de cautela / paranoia, você pode fazer uma atualização sem interrupção em um grupo de servidores de teste e, se não houver problemas, permitir que suas caixas de produção sejam atualizadas, embora eu pessoalmente não tenha encontrado nenhum problema com atualizações de segurança destruindo o caos até agora (bata na madeira) ...

Existe também uma opção de configuração para enviar os resultados de cada atualização de segurança, uma vez aplicada. Além disso, se houver algum diálogo ou prompts interativos apresentados durante a atualização, os que precisarão de ajustes manuais por um administrador de sistema, também serão mencionados.

Pessoalmente, desativo as atualizações automáticas e não realizo regularmente qualquer tipo de atualização de pacotes em servidores em meus ambientes, a menos que: (a) haja um importante aviso do CERT para um dos pacotes no meu sistema; (b) eu preciso atualizar pacotes individuais por razões específicas; (c) Sistemas operacionais ou pacotes estão chegando ao fim do ciclo, eles não serão mais suportados e precisamos continuar a ter suporte. Meu raciocínio é que a atualização sem saber o que está sendo mudado ou porque deixa muito espaço para algo quebrar. Eu tenho feito coisas assim por 14 anos e funciona bem.

Além do material mencionado, você deve usar algum tipo de ferramenta de monitoramento (o Nagios ou o que flutuar no seu barco) para alertá-lo sobre atualizações.

Com relação a frequência: assim que há uma atualização disponível!