É seguro rodar o apt-get update toda noite?

Pode ser seguro - ou, mais precisamente, o nível de risco pode estar dentro do seu alcance de conforto. O nível de risco aceitável dependerá de vários fatores.

Você tem um bom sistema de backup que permitirá a você reverter rapidamente se algo quebrar?

Você está encaminhando os logs do servidor para um sistema remoto para que, se a caixa parar de funcionar, você ainda saiba o que aconteceu?

Você está disposto a aceitar a possibilidade de que algo possa quebrar e talvez seja necessário restaurar / reverter rapidamente o sistema se algo falhar?

Você compilou manualmente alguma coisa por conta própria, ou absolutamente tudo o que foi instalado no seu sistema veio dos repositórios oficiais? Se você instalou algo localmente, há uma chance de que uma alteração no upstream possa interromper seu software local mantido / instalado.

Qual é o papel deste sistema? É algo que mal seria perdido se ele morresse (por exemplo, um servidor DNS secundário) ou é a parte principal de sua infraestrutura (por exemplo, servidor LDAP ou servidor de arquivos primário).

Deseja configurar isso porque ninguém responsável pelo servidor tem tempo para manter os patches de segurança? O risco potencial de ser comprometido por uma vulnerabilidade não corrigida pode ser maior do que o potencial para uma atualização ruim.

Se você realmente acha que quer fazer isso, sugiro que use uma das ferramentas que já estão disponíveis para esse fim, como cron-apt . Eles têm alguma lógica para ser mais seguro do que apenas um cego apt-get -y update .

Sim, desde que você esteja falando sobre atualizar e não atualizar . O Apt fará isso por você se você colocar a linha:

APT::Periodic::Update-Package-Lists "1";

em um arquivo em /etc/apt/apt.conf.d/

Geralmente é seguro, mas eu não recomendaria isso por um motivo simples:

• Você perde um estado conhecido.

No ambiente de produção, você precisa saber exatamente o que está nele, ou o que deve estar nele, e ser capaz de reproduzir esse estado com facilidade.

Quaisquer alterações devem ser feitas por meio do processo de Gerenciamento de Mudanças, no qual a empresa está totalmente ciente do que está entendendo, para que possa analisar mais tarde o que deu errado e assim por diante.

Atualizações noturnas tornam esse tipo de análise impossível ou mais difícil de fazer.

Eu poderia fazer isso no stable, ou no Ubuntu, mas não em um branch instável, ou mesmo no branch de testes.

No entanto, quando coloco meu chapéu sysadmin, acredito que devo aplicar manualmente todas as atualizações, para que eu possa manter a consistência entre os servidores - e também para que, se um dia um serviço quebrar, eu saiba quando última atualização desse serviço. Isso é algo que eu não posso verificar se as atualizações estão sendo realizadas automaticamente.

Nós usamos a atualização apt-get estável e agendada para a noite de terça-feira na maioria dos nossos sistemas Debian (coincide com nossas atualizações da Microsoft "patch terça-feira"). Isso funciona bem. Também temos todos os eventos de atualização registrados no Nagios, para que possamos ver um histórico de quando as atualizações foram realizadas pela última vez em qualquer servidor.

Quando você especifica que este é um servidor de "produção", isso significa que também há servidores de desenvolvimento e teste? Nesse caso, os patches devem ser testados nesses sistemas antes de serem instalados na caixa de produção.

Eu não faria isso. Bad patches acontecem e eu não quero que um sistema falhe no meio da noite ou enquanto eu não estivesse disponível. Eles devem ser colocados em uma janela de manutenção quando um administrador estiver disponível para monitorar a atualização.

Eu lembro de fazer isso em um trabalho anterior; Acabei com problemas no servidor de produção porque uma atualização reescreveu um arquivo de configuração automaticamente.

Portanto, aconselho-o a supervisionar as atualizações.

Se a alternativa estiver aplicando atualizações de forma irregular, você não seguirá ativamente as atualizações de segurança, e estará executando um Lenny estável, então a atualização automática provavelmente aumentará a segurança da sua máquina, já que você atualizará falhas de segurança conhecidas mais rapidamente.

O Ubuntu Server tem um pacote que permitirá a atualização automática de atualizações de segurança. Ele permite que você inclua também determinados aplicativos. Ele também fala sobre o apticron, que lhe enviará um email quando houver atualizações disponíveis para o seu servidor.

Você pode descobrir mais sobre isso nas páginas seguintes, dependendo de qual versão do Ubuntu Server você está executando.

• 8.10
• 9.04
• 9.10

EDIT: Supondo que você esteja executando o Ubuntu. Embora eu aposto que os mesmos pacotes e soluções estão disponíveis no Debian.

Dê uma olhada no cron-apt. Ele só baixa as listas e arquivos de pacotes por padrão, mas você pode ajustá-lo para enviar e-mails, ou até mesmo atualizar o sistema.

Isso depende da sua infraestrutura. Se eu tiver uma única máquina, normalmente reviso as atualizações e vejo o que preciso ou o que posso evitar. Se eu estiver usando um cluster, eu em algum momento distribuo as alterações em uma máquina e vejo como elas são executadas, e depois as distribuo para as outras máquinas se tudo parecer bem.

Atualizações de banco de dados eu sempre mantenho um olhar atento.

Se você tiver um sistema de arquivos que suporte snap shot, pode ser realmente útil para fazer um snapshot do sistema, aplicar atualizações e, em seguida, ter a opção de reverter as alterações se algo der errado.

Tente descobrir por que um pacote está sendo atualizado? é correção de bug? correção de segurança? é um comando local ou um serviço de rede remota ?. O software foi testado com as novas atualizações?

As atualizações do kernel devem ser abordadas com mais cautela. Tente descobrir por que o kernel está sendo atualizado? Você realmente precisa dessas mudanças? isso afetará sua aplicação. Preciso aplicar isso por segurança?

9 das 10 atualizações de software ocorrerão sem problemas, mas são raras as vezes em que você deixa a máquina como uma pilha de lixo, tem um plano de recuperação ou de recuperação do sistema.