Sollte ich das automatische Update auf Debian Lenny Stable aktivieren müssen?

25

Ich habe einen neuen Linux- Debian-Lenny- Server installiert , der ein LAMP- und ein Subversion- Server sein wird. Muss ich automatische Updates aktivieren?

Wenn ich es aktiviere, bin ich sicher, dass ich die neuesten Sicherheitspatches habe. Es sollte auch nicht mein System beschädigen, da Debian Stable nur Sicherheitspatches bereitstellt. Wenn ich sie manuell installiere, bin ich möglicherweise an mehreren Tagen und in der Woche einem hohen Sicherheitsrisiko ausgesetzt.

Bitte denken Sie daran, dass ich kein Vollzeit-Systemadministrator bin, sodass ich nicht die Zeit habe, Security Bulletins zu lesen.

Was machst du normalerweise mit deinen Servern? Wie lautet dein Rat?

Peter Mortensen
quelle

Antworten:

28

(Warnungen bezüglich automatischer Upgrades wurden bereits von früheren Postern ausgesprochen.)

Angesichts der Erfolgsbilanz des Debian-Sicherheitsteams in den letzten Jahren halte ich das Risiko von fehlerhaften Upgrades für weitaus geringer als den Vorteil automatischer Updates auf selten besuchten Systemen.

Debian Lenny wird mit unbeaufsichtigten Upgrades geliefert , die von Ubuntu stammen und als die defacto-Lösung für unbeaufsichtigte Upgrades für Debian ab Lenny / 5.0 gelten.

Um es auf einem Debian-System zum Laufen zu bringen, müssen Sie das unattended-upgradesPaket installieren .

Dann füge diese Zeilen hinzu zu /etc/apt/apt.conf:

APT :: Periodic :: Update-Package-Lists "1";
APT :: Periodic :: Unattended-Upgrade "1";

(Hinweis: In Debian Squeeze / 6.0 gibt es keine /etc/apt/apt.conf. Die bevorzugte Methode ist die Verwendung des folgenden Befehls, mit dem die obigen Zeilen in /etc/apt/apt.conf.d/20auto-upgrades:) erstellt werden.

sudo dpkg-reconfigure -plow unbeaufsichtigt-Upgrades

Ein Cron-Job wird dann jede Nacht ausgeführt und überprüft, ob Sicherheitsupdates installiert werden müssen.

Aktionen von unbeaufsichtigten Upgrades können in überwacht werden /var/log/unattended-upgrades/. Beachten Sie, dass Sie den Server manuell neu starten müssen, damit die Kernel-Sicherheitskorrekturen aktiv werden. Dies kann auch automatisch im Rahmen eines geplanten (zB monatlichen) Wartungsfensters erfolgen.

Michael Renner
quelle
Nur eine Frage: Werden unbeaufsichtigte Upgrades Upgrades jeglicher Art oder nur sicherheitsrelevante Upgrades durchführen?
Lindelof
unattended-upgradesMit dieser Einstellung können nur Sicherheitsupdates installiert werden.
Martijn Heemels
1
unattended-upgrade(ohne das s) installiert nur Sicherheitsupdates. Mit --debug --dry-runkönnen Sie die Liste der Pakete im Protokoll abrufen, ohne sie zu installieren.
Ignis
6

Apt kommt jetzt mit einem eigenen Cron Job /etc/cron.daily/apt und documentaion ist in der Datei selbst zu finden:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.
Tomdeb
quelle
Dokumentiert nicht Allowed-Origins.
Daniel C. Sobral
5

Installieren Sie einfach apticron und ändern Sie die Einstellung EMAIL = in /etc/apticron/apticron.conf

Apticron sucht nach den neuesten Updates und lädt sie herunter. Es wird sie NICHT installieren. Sie erhalten eine E-Mail mit den ausstehenden Updates.

Dax
quelle
5

Mein Rat: Ja, die Sicherheitsupdates werden automatisch heruntergeladen. Ich hatte vor ungefähr 4 Jahren einen dedizierten Debian-Server ohne automatisierte Updates. Um Weihnachten war ich in den Ferien, als ein Wurm veröffentlicht wurde, der eine bekannte Sicherheitslücke in der Distribution ausnutzte (weiß nicht mehr, welche). Als ich aus dem Urlaub zurückkam, wurde mein Server gehackt.

Für mich ist das Risiko, die Anwendung zu beschädigen, sehr gering, viel geringer als das Risiko, von Versionen mit bekannten Schwachstellen gehackt zu werden.

Julien
quelle
0

Ich verwende niemals automatische Updates. Ich möchte, dass Upgrades durchgeführt werden, wenn ich Zeit habe, um Dinge aufzuräumen, wenn es schief geht. Wenn Sie sich nicht mit Sicherheitsbulletins befassen möchten, entscheiden Sie, wie lange Sie zwischen der Suche nach Updates und der wöchentlichen Aktualisierung keine Probleme haben. Es ist so einfach wie: "aptitude update; aptitude dist-upgrade (oder aptitude safe-upgrade)"

Ich widme dem lieber ein wenig Zeit, als meinen Mailserver plötzlich ausschalten zu lassen und nicht automatisch wieder hochzufahren.

kbyrd
quelle
0

Ich würde empfehlen, dass Sie apt so konfigurieren, dass es täglich nach Updates sucht, Sie jedoch nur darüber informiert, dass diese verfügbar sind, und sie erst dann ausführt, wenn Sie in der Nähe sind. Es besteht immer die Möglichkeit, dass ein passendes Upgrade etwas kaputt macht oder Benutzereingaben erfordert.

apticron ist ein gutes Paket, um dies für Sie zu tun, oder Sie könnten einfach einen Cron-Job machen, der so etwas ausführt wie:

apt-get update -qq; apt-get upgrade -duyq

Ich würde ein Upgrade immer dann empfehlen, wenn Sie etwas mit hoher Priorität oder höher sehen - aber ich möchte auch nicht warten, bis es 30 oder 40 Upgrades gibt -, denn wenn dann etwas kaputt geht, ist es schwieriger, genau einzugrenzen, welches Paket Ihr System beschädigt hat.

Abhängig von den Paketen, die Sie auf Ihrem LAMP-Server ausführen , möchten Sie möglicherweise die Debian-Volitile- und / oder Dotdeb- Repositorys zu Ihrer Repository-Liste hinzufügen , da sie viel mehr über Patches und Virenmuster- Updates auf dem Laufenden halten als die Standard-Repositorys von Debian .

Brent
quelle
0

Wir verwenden cron-apt, um Downloads zu automatisieren, und basierend auf den Ratschlägen, die ich hier bei SF gesehen habe, fügen wir jetzt eine Quellliste mit nur Sicherheits-Repositorys in die Konfigurationsdatei von cron-apt ein, sodass nur Sicherheits-Fixes automatisch ohne weitere Maßnahmen installiert werden.

U / min
quelle