Eu estou no processo de tentar manter vários ubuntu atualizados e corrigidos (10.4.2 LTS), uma sugestão que tenho recebido é a configuração de upgrades autônomos ( link ).
No passado, fui contra a configuração de atualizações automáticas, principalmente devido à paranóia de que isso iria quebrar alguma coisa durante o processo de atualização. No entanto, agora estou começando a questionar o quão válido isso é (e quanto de risco é comparado a ter servidores potencialmente sem patches). Esta é uma ideia sensata?
Estamos também no processo de criação do Puppet, no entanto, a criação de módulos / migração de servidores para o fantoche parece muito distante.
Eu tive as atualizações de pacotes do Ubuntu destruindo graves no passado recente, então minha recomendação seria implantar manualmente os pacotes neste ponto, (após alguns testes ou pelo menos uma captura instantânea de VM) com algo como apticron para enviar a você um email sobre patches pendentes.
Dito isto, uma ferramenta central de gerenciamento de atualizações seria muito melhor. Infelizmente, parece que não houve muito progresso .
Acho que depende da sua situação - você precisa ponderar os riscos.
Quanto dano pode ser causado por uma atualização que está dando errado? Este é um servidor de produção que processa pedidos em tempo real? Uma hora de inatividade custaria muito dinheiro?
Se você não executar atualizações automáticas, estará mais exposto a hackers e explorações de dia zero. Quanto dano um hacker poderia causar? Seu servidor hospeda muitas informações confidenciais que, se roubadas, podem custar muito mais do que algumas horas de inatividade?
Pessoalmente, eu errei no lado da segurança e executei upgrades autônomos. Mas, para minimizar o potencial de uma atualização atrapalhada, só faço atualizações de segurança e faço as atualizações restantes manualmente.
Eu acho que se uma atualização vai estragar, é improvável que eu notarei até que a máquina tenha sido reinicializada, nesse caso, se a atualização foi instalada manualmente ou automaticamente não faz diferença.