Frage Muss ich das automatische Update auf Debian Lenny Stable aktivieren?


Ich habe ein neues Linux installiert Debian Lenny Server, der ein sein wird LAMPE und ein Subversion Server. Muss ich automatische Updates aktivieren?

Wenn ich es aktiviere, bin ich sicher, dass ich die neuesten Sicherheitspatches habe. Es sollte auch nicht mein System brechen, da Debian Stable nur Sicherheitspatches zur Verfügung stellt. Wenn ich sie manuell installiere, könnte ich ein hohes Sicherheitsrisiko während mehrerer Tage und Wochen haben.

Bitte denken Sie daran, dass ich kein Vollzeit-Systemadministrator bin. Daher habe ich keine Zeit, Sicherheitsbulletins zu lesen.

Was machst du normalerweise mit deinen Servern? Wie lautet dein Rat?


25


Ursprung




Antworten:


(Warnungen bezüglich automatischer Upgrades wurden bereits von früheren Postern ausgesprochen.)

Angesichts der Erfolgsbilanz des Debian-Sicherheitsteams in den letzten Jahren betrachte ich die Risiken gebrochener Upgrades weit weniger als den Vorteil automatischer Updates auf selten besuchten Systemen.

Debian Lenny kommt mit unbeaufsichtigte Upgrades, die von Ubuntu stammt und als de-facto-Lösung für unbeaufsichtigte Upgrades von Debian ab Lenny / 5.0 gilt.

Um es auf einem Debian-System zu installieren, müssen Sie das installieren unattended-upgrades Paket.

Dann füge diese Zeilen hinzu /etc/apt/apt.conf:

APT :: Periodic :: Update-Paket-Listen "1";
APT :: Periodic :: Unattended-Upgrade "1";

(Hinweis: In Debian Squeeze / 6.0 gibt es keine /etc/apt/apt.conf. Die bevorzugte Methode besteht darin, den folgenden Befehl zu verwenden, mit dem die obigen Zeilen erstellt werden /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure - lasst unbeaufsichtigte Upgrades laufen

Ein Cron-Job wird dann nachts ausgeführt und überprüft, ob Sicherheitsupdates installiert werden müssen.

Aktionen von unbeaufsichtigten Upgrades können in überwacht werden /var/log/unattended-upgrades/. Seien Sie vorsichtig, dass für Kernel-Sicherheitsupdates, um aktiv zu werden, Sie den Server manuell neu starten müssen. Dies kann auch automatisch im Verlauf eines geplanten (z.B. monatlichen) Wartungsfensters erfolgen.


28



Nur eine Frage: Werden unbeaufsichtigte Upgrades irgendeine Art von Upgrade durchführen oder nur sicherheitsrelevante? - lindelof
unattended-upgrades hat eine Einstellung, um nur die Installation von Sicherheitsupdates anzugeben. - Martijn Heemels
unattended-upgrade (ohne das s) installiert nur Sicherheitsupdates. Mit --debug --dry-run Sie können die Liste der Pakete im Protokoll abrufen, ohne sie zu installieren. - ignis


Apt kommt jetzt mit einem eigenen Cron-Job /etc/cron.daily/apt und documentaion befindet sich in der Datei selbst:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

6



Dokumentiert nicht Allowed-Origins. - Daniel C. Sobral


Installieren Sie einfach apticron und ändern Sie die Einstellung EMAIL = in /etc/apticron/apticron.conf

Apticron wird nach den neuesten Updates suchen und sie herunterladen. Es wird sie NICHT installieren. Es sendet Ihnen eine E-Mail mit den ausstehenden Updates.


5





Mein Tipp: Ja, hol dir die Sicherheitsupdates automatisch. Ich hatte vor 4 Jahren einen dedizierten Server, ohne automatische Updates. Ich war um Weihnachten in Urlaub, als ein Wurm veröffentlicht wurde, der eine bekannte Schwachstelle in der Distribution ausnutzte (ich erinnere mich nicht mehr daran). Als ich aus dem Urlaub zurückkam, wurde mein Server gehackt.

Für mich ist das Risiko, die Anwendung zu durchbrechen, sehr gering, viel weniger als durch das Ausführen von Versionen mit bekannten Sicherheitslücken gehackt zu werden.


5





Ich verwende niemals automatische Updates. Ich mag Upgrades, die gemacht werden, wenn ich in der Nähe bin, um die Dinge aufzuräumen, wenn es schief geht. Wenn Sie sich nicht mit Sicherheitsbulletins auseinandersetzen möchten, entscheiden Sie, wie lange Sie sich zwischen der Suche nach Updates und dem wöchentlichen Update entscheiden. Es ist so einfach wie: "aptitude update; aptitude dist-upgrade (oder aptitude safe-upgrade)"

Ich ziehe es vor, ein wenig Zeit dafür zu widmen, als dass mein Mail-Server plötzlich weggeht und nicht automatisch wieder auftaucht.


0





Ich würde empfehlen, dass Sie apt so konfigurieren, dass sie täglich nach Updates suchen, aber Sie nur darüber informieren, dass sie verfügbar sind, und sie erst dann ausführen, wenn Sie in der Nähe sind. Es gibt immer eine Chance, dass ein apt-get-Aktualisierung unterbricht etwas oder erfordert einige Benutzereingaben.

Aptiron ist ein gutes Paket, um dies für Sie zu tun, oder Sie könnten einfach einen Cron-Job machen, der etwas wie folgt ausführt:

apt-get update -qq; apt-get upgrade -duyq

Ich würde empfehlen, zu aktualisieren, wenn Sie etwas sehen hohe Priorität oder höher - aber ich mag es auch nicht zu warten, bis 30 oder 40 Upgrades durchgeführt werden - denn wenn etwas kaputt geht, ist es schwieriger, genau zu bestimmen, welches Paket dein System kaputt gemacht hat.

Je nachdem, welche Pakete auf Ihrem LAMP-Server ausgeführt werden, möchten Sie möglicherweise auch das hinzufügen debian volitile und / oder Dotdeb Repositories zu Ihrer Repository-Liste hinzufügen, da sie viel mehr über Patches und Virenmuster-Updates verfügen als Debian-Standard-Repos.


0





Wir verwenden cron-apt, um Downloads zu automatisieren und basieren auf Ratschlägen, die ich gesehen habe hier auf SF Wir fügen nun eine Quellenliste mit nur Sicherheits-Repositories in die Konfigurationsdatei cron-apt ein, so dass nur Sicherheitsfixes ohne weitere Maßnahmen automatisch installiert werden.


0