Estou executando o Debian Stable em todos os nossos servidores. O Debian Stable sempre recebe segurança e outras atualizações importantes ao longo do tempo, incluindo atualizações do kernel também. Alguém tem que atualizar imediatamente todos os pacotes, incluindo o kernel? o que deve ser a política de atualização de servidor mais comumente adotada?
Inscreva-se na lista de discussão do Debian Security Announce . Esses e-mails fornecem informações sobre o tipo e a gravidade da vulnerabilidade que a atualização corrige. Você pode usar essas informações para determinar a atualização crítica em sua situação.
Na minha experiência, o QA do Debian estável é bom o suficiente para instalar todas as atualizações imediatamente. Apenas com o kernel eu adio a atualização / reinicialização, a menos que seja um grande problema de segurança.
Isso depende do ambiente em que você está operando. Se o servidor absolutamente não precisa ser 24/7/365 e algum tempo de inatividade é aceitável, vá em frente e atualize tudo à vontade.
Mas quanto mais crítico o ambiente, mais cuidadoso deve ser.
Ao atualizar é sempre importante avaliar se é a) necessário e b) seguro para executar a atualização (o aplicativo personalizado Foo ainda continua sendo executado mesmo após as atualizações?). Não entre em pânico & Apresse-se para atualizar tudo sob o sol imediatamente, sempre testar as atualizações primeiro em algum ambiente de teste.
No nosso caso, de um modo geral, todas as atualizações de segurança ocorrem logo após a sua chegada.
Para servidores públicos ou voltados para o cliente, certifique-se de aplicar os pacotes atualizados primeiro a um ambiente de teste para verificar se a atualização provavelmente não afeta os serviços fornecidos por esses servidores - se você encontrar um problema (talvez um aplicativo foi inadvertidamente fazendo uso de um comportamento "indefinido" que é alterado pelas revisões feitas para uma correção de segurança), então você está avisado e pode resolver esse problema antes de aplicar as atualizações para o ambiente ao vivo.
A menos que uma das atualizações seja para uma exploração que já está circulando na natureza (essas coisas tendem a ser uma grande notícia, então eu sei que espero) eu retardo um pouco e talvez aplique alterações um dia depois. Isso evita ser um dos pioneiros que são escalpelados por uma atualização para a qual algo significativo foi perdido nos testes. Isto é particularmente verdadeiro para atualizações do kernel e SSHd em máquinas que não tenho acesso físico fácil (isto é, em um DC remoto sem KVMoIP) - aquelas coisas que, se quebradas, podem impedir a máquina de voltar após o boot ou ser remotamente gerenciável,