Devo ativar as atualizações automáticas de segurança em um servidor Ubuntu? [fechadas]

8

Eu não consigo encontrar uma resposta acordada sobre isso em nenhum lugar, então eu pensei em perguntar por mim mesmo.

Eu tenho cinco servidores Ubuntu rodando 12.04 ou 14.04, devo ativar atualizações automáticas de segurança usando unattended-upgrades ? Ou devo apenas executar atualizações manuais todo mês?

Com isso quero dizer que é seguro / poderia permitir que isso levasse a qualquer problema de sistema operacional / segurança? Os benefícios superam os contras?

    
por user3420034 12.05.2015 / 02:22

5 respostas

4

Depende do que sua máquina faz no final. Ele executa aplicativos de missão crítica que não podem travar NUNCA? Provavelmente não é o melhor para atualizações automáticas. Está sentado no ponto de saída da sua rede? provavelmente um bom candidato.

Tudo se resume a pesar segurança versus estabilidade e encontrar quais são os seus compromissos aceitáveis. O mais provável é que você não seja o alvo de um dia zero, mas talvez você tenha dados muito confidenciais que não podem sair, é uma decisão que você deve tomar.

Minha sugestão é projetar sua rede de modo que a maior parte da filtragem de segurança seja feita na borda de sua rede (bloqueando aplicativos externos, firewall inteligente, possível DMZ, etc.) e então tratando o restante em uma rede. a maneira mais apropriada para a sua organização - se isso significa reinicializações noturnas com atualizações ou semanal ou automática:)

    
por 12.05.2015 / 06:22
2

Sim. Você deve ativar essas atualizações automáticas. É muito mais provável que o seu sistema fique comprometido por perder ou atrasar uma atualização do que por essas atualizações terem impacto negativo no sistema em execução.

    
por 12.05.2015 / 04:34
1

Minha regra é que eu deixo a segurança (e muitas vezes não-segurança, também) atualização habilitada em máquinas virtuais, mas eu manualmente agendar uma atualização do sistema em instâncias bare-metal.

Afinal de contas, com uma VM e uma boa estratégia de backup é muito fácil de recuperar, enquanto que com as coisas bare-metal se tornam mais complexas.

    
por 12.05.2015 / 09:40
1

Acho que é uma boa ideia ativar atualizações autônomas.

Eu usei upgrades não-assistidos por anos nas versões stable e ubuntu lts do debian e nunca encontrei um problema com ele. Contanto que você habilite apenas as atualizações de segurança e talvez as atualizações regulares. E os upgrades não assistidos não atualizarão algo se precisar de entrada do usuário

De modo geral, se você ficar com versões estáveis do debian ou do ubuntu, ou redhat / centos, você pode ter certeza de que suas atualizações são estáveis e não estragam tudo.

Se você depende de algo como o apache, você pode dizer seletivamente ao gerenciador de pacotes para não atualizá-lo e fazer isso manualmente.

Além disso, eu corro o risco de quebrar algo do que ter um servidor hackeado devido a erros de segurança perdidos.

    
por 12.05.2015 / 10:10
0

Em um mundo ideal, além de seus servidores de produção, você tem sistemas adicionais de não produção destinados a testar ambos (atualizações) seus próprios aplicativos, bem como o sistema operacional.

Somente depois de validar nesse ambiente de teste que nenhum dos componentes de software atualizados violam a configuração existente, eles devem ser aplicados ao seu ambiente de produção.

Isso defende contra atualizações automáticas.

Normalmente, você quer um certo nível de automação, de modo que, depois de agendar uma atualização, não seja necessário fazer logon em cada sistema individual para corrigi-los manualmente :)

    
por 12.05.2015 / 09:28