Devo ativar a atualização automática no Debian lenny stable?

(Avisos relativos a atualizações automáticas já foram expressos por pôsteres anteriores.)

Dado o histórico da equipe de segurança do Debian nos últimos anos, considero os riscos de upgrades quebrados muito menores do que o benefício de ter atualizações automáticas em sistemas raramente visitados.

O Debian Lenny vem com atualizações autônomas , que são originadas do Ubuntu e são consideradas a solução definitiva para atualizações autônomas para o Debian. a partir de Lenny / 5.0.

Para colocá-lo em funcionamento em um sistema Debian, você precisa instalar o pacote unattended-upgrades .

Em seguida, adicione essas linhas a /etc/apt/apt.conf :

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

(Nota: No Debian Squeeze / 6.0 não há /etc/apt/apt.conf . O método preferido é usar o seguinte comando, que criará as linhas acima em /etc/apt/apt.conf.d/20auto-upgrades :)

sudo dpkg-reconfigure -plow unattended-upgrades

Um cron job é executado todas as noites e verifica se há atualizações de segurança que precisam ser instaladas.

As ações de upgrades autônomos podem ser monitoradas em /var/log/unattended-upgrades/ . Seja cauteloso, para que as correções de segurança do kernel fiquem ativas, você precisa reinicializar o servidor manualmente. Isso também pode ser feito automaticamente no decorrer de uma janela de manutenção planejada (por exemplo, mensal).

Apt agora vem com seu próprio cron job /etc/cron.daily/apt e documentaion é encontrado no próprio arquivo:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

Basta instalar o apticron e alterar a configuração EMAIL = em /etc/apticron/apticron.conf

Apticron irá verificar as atualizações mais recentes e baixá-las. NÃO irá instalá-los. Ele enviará um e-mail com as atualizações pendentes.

Meu conselho: sim, obtenha as atualizações de segurança automaticamente. Eu tinha um servidor Debian dedicado há cerca de 4 anos, sem atualizações automáticas. Fui de férias por volta do Natal quando foi liberado um worm que explorava uma vulnerabilidade conhecida na distribuição (não lembro qual delas). Quando voltei de férias, meu servidor foi invadido.

Para mim, o risco de quebrar o aplicativo é muito baixo, muito menor do que ser hackeado ao executar versões com vulnerabilidades conhecidas.

Eu nunca uso atualizações automáticas. Eu gosto de atualizações para ser feito quando estou por perto tem tempo para limpar as coisas, se der errado. Se você não quiser lidar com os boletins de segurança, decida por quanto tempo ficará à vontade para verificar se há atualizações e apenas decidir fazer atualizações toda semana. É tão simples como: "atualização do aptitude; aptitude dist-upgrade (ou aptitude safe-upgrade)"

Eu prefiro dedicar um pouco de tempo a isso do que fazer com que meu servidor de e-mail desapareça repentinamente e não volte automaticamente.

Recomendamos que você configure o apt para verificar atualizações diariamente, mas apenas para notificá-lo de que elas estão disponíveis e não as executará até que você esteja por perto. Há sempre uma chance de que um upgrade do apt-get quebre alguma coisa, ou exija alguma entrada do usuário.

apticron é um bom pacote para fazer isso para você, ou você poderia fazer um cron job que executa algo como:

apt-get update -qq; apt-get upgrade -duyq

Eu recomendaria a atualização sempre que você vir algo alta prioridade ou superior - mas eu também não gostaria de esperar até que haja 30 ou 40 atualizações para executar - porque se algo quebrar é mais difícil restringir exatamente qual pacote quebrou seu sistema.

Além disso, dependendo de quais pacotes você está executando em seu servidor LAMP, você pode querer adicionar os repositórios volian volitile e / ou dotdeb à sua lista de repositórios, já que eles ficam muito mais atualizados sobre patches e atualizações de padrões de vírus do que os repositórios padrão do debian.

Nós usamos o cron-apt para automatizar downloads, e com base em conselhos eu vi aqui no SF agora incluímos uma lista de fontes com apenas repositórios de segurança no arquivo de configuração do cron-apt, portanto apenas as correções de segurança são instaladas automaticamente sem nenhuma ação adicional.