Wie sicher sind unbeaufsichtigte Upgrades / automatische Updates für Ubuntu?

14

Ich versuche gerade, mehrere Ubuntu-Boxen auf dem neuesten Stand und mit Patches (10.4.2 LTS) zu halten. Ein Vorschlag, den ich erhalten habe, ist das Einrichten unbeaufsichtigter Upgrades ( https://help.ubuntu.com/community/ AutomaticSecurityUpdates ).

In der Vergangenheit war ich dagegen, automatische Updates einzurichten, hauptsächlich wegen der Paranoia, dass es während des Update-Vorgangs zu Problemen kommt. Jetzt beginne ich jedoch zu hinterfragen, wie berechtigt dies ist (und wie hoch das Risiko im Vergleich zu möglicherweise nicht gepatchten Servern ist). Ist das eine vernünftige Idee?

Wir sind auch dabei, Puppet einzurichten, aber die Erstellung von Modulen / die Migration von Servern zu Puppet scheint noch weit entfernt zu sein.

Pratik Amin
quelle

Antworten:

6

Ich hatte in der letzten Zeit große Probleme mit Ubuntu-Paketaktualisierungen. Daher würde ich empfehlen, die Pakete zu diesem Zeitpunkt (nach einigen Tests oder zumindest einem VM-Snapshot) manuell mit so etwas wie apticron bereitzustellen, um Ihnen eine E-Mail zu senden ausstehende Patches.

Ein zentrales Update-Management-Tool wäre jedoch weitaus besser. Leider scheint es nicht viel Fortschritte gegeben zu haben .

Shane Madden
quelle
1
Können Sie bestätigen, dass sich die Probleme auf einem Ubuntu-Server und nicht auf einem Desktop befanden, wenn Sie Probleme hatten? Hatten Sie auch ein Problem mit einem Sicherheitsupdate oder einem Standardupdate?
Mark Stosberg
1
@MarkStosberg Ich kann mich nicht genau erinnern, auf welches Paket-Update-Problem ich letztes Jahr um diese Zeit gestoßen bin likewise-open. Ich bin mir nicht sicher, ob es sich um ein Sicherheitsupdate handelt. Aber ja, definitiv auf Servern, nicht auf Desktops.
Shane Madden
8

Ich denke, es hängt von Ihrer Situation ab - Sie müssen die Risiken abwägen.

Wie viel Schaden könnte durch ein fehlerhaftes Update verursacht werden? Verarbeitet ein Produktionsserver Aufträge in Echtzeit? Würde eine Stunde Stillstand viel Geld kosten?

Wenn Sie keine automatischen Updates ausführen, sind Sie Hackern und Zero-Day-Exploits stärker ausgesetzt. Wie viel Schaden könnte ein Hacker anrichten? Verfügt Ihr Server über viele sehr vertrauliche Informationen, die Sie im Falle eines Diebstahls mehr als ein paar Stunden Ausfallzeit kosten könnten?

Persönlich irre ich mich auf der Seite der Sicherheit und führe unbeaufsichtigte Upgrades durch. Aber um das Risiko einer Aktualisierung so gering wie möglich zu halten, mache ich nur Sicherheitsaktualisierungen und die restlichen Aktualisierungen manuell.

Ich denke, wenn ein Update versagt, ist es unwahrscheinlich, dass ich es merke, bis der Computer neu gestartet wurde. In diesem Fall spielt es keine Rolle, ob das Update manuell oder automatisch installiert wurde.

aidan
quelle