¿Debería habilitar la actualización automática en Debian lenny stable?

25

He instalado un nuevo servidor Linux Debian lenny que será un servidor LAMP y un servidor Subversion . ¿Debo habilitar las actualizaciones automáticas?

Si lo habilito, estoy seguro de que tengo los últimos parches de seguridad. Tampoco debería dañar mi sistema, ya que Debian estable solo proporciona parches de seguridad. Si los instalo manualmente, puedo tener un alto riesgo de seguridad durante varios días y semanas.

Tenga en cuenta que no soy administrador del sistema a tiempo completo, por lo que no tengo tiempo para consultar los boletines de seguridad.

¿Qué haces habitualmente con tus servidores? ¿Cual es tu consejo?

Peter Mortensen
fuente

Respuestas:

28

(Las advertencias relativas a las actualizaciones automáticas ya han sido expresadas en carteles anteriores).

Dado el historial del equipo de Debian Security en los últimos años, considero que los riesgos de las actualizaciones rotas son mucho menores que el beneficio de tener actualizaciones automáticas en los sistemas poco visitados.

Debian Lenny viene con actualizaciones desatendidas , que se originaron en Ubuntu y se considera la solución de facto para actualizaciones desatendidas para Debian a partir de Lenny / 5.0.

Para ponerlo en funcionamiento en un sistema Debian, debe instalar el unattended-upgradespaquete.

Luego agregue estas líneas a /etc/apt/apt.conf:

APT :: Periódico :: Update-Package-Lists "1";
APT :: Periódico :: Actualización desatendida "1";

(Nota: en Debian Squeeze / 6.0 no existe /etc/apt/apt.conf. El método preferido es utilizar el siguiente comando, que creará las líneas anteriores en /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure -plow desatendido-actualizaciones

Luego se ejecuta un trabajo cron todas las noches y comprueba si hay actualizaciones de seguridad que deben instalarse.

Las acciones de las actualizaciones desatendidas se pueden monitorear en /var/log/unattended-upgrades/. Tenga cuidado, para que las correcciones de seguridad del núcleo se activen, debe reiniciar el servidor manualmente. Esto también se puede hacer automáticamente en el curso de una ventana de mantenimiento planificada (por ejemplo, mensual).

Michael Renner
fuente
Solo una pregunta: ¿las actualizaciones desatendidas harán algún tipo de actualización, o solo las relacionadas con la seguridad?
lindelof
unattended-upgradestiene una configuración para especificar solo la instalación de actualizaciones de seguridad.
Martijn Heemels
1
unattended-upgrade(sin el s) solo instala actualizaciones de seguridad. Con --debug --dry-runusted puede obtener la lista de paquetes en el registro sin instalarlos.
ignis
6

Apt ahora viene con su propio trabajo cron /etc/cron.daily/apt y la documentación se encuentra en el archivo:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.
tomdeb
fuente
No documenta Allowed-Origins.
Daniel C. Sobral
5

Simplemente instale apticron y cambie la configuración EMAIL = en /etc/apticron/apticron.conf

Apticron buscará las últimas actualizaciones y las descargará. NO los instalará. Le enviará un correo con las actualizaciones pendientes.

Dax
fuente
5

Mi consejo: sí, obtenga las actualizaciones de seguridad automáticamente. Tenía un servidor Debian dedicado hace aproximadamente 4 años, sin actualizaciones automáticas. Me fui de vacaciones en Navidad cuando se lanzó un gusano que explotó una vulnerabilidad conocida en la distribución (no recuerdo cuál). Cuando regresé de vacaciones, mi servidor fue pirateado.

Para mí, el riesgo de romper la aplicación es muy bajo, mucho más bajo que ser pirateado al ejecutar versiones con vulnerabilidades bien conocidas.

Julien
fuente
0

Nunca uso actualizaciones automáticas. Me gusta que las actualizaciones se realicen cuando tengo tiempo para limpiar las cosas si sale mal. Si no desea lidiar con los boletines de seguridad, decida cuánto tiempo se siente cómodo entre buscar actualizaciones y simplemente decida hacer actualizaciones cada semana. Es tan simple como: "actualización de aptitude; actualización de aptitude (o actualización segura de aptitude)"

Prefiero dedicar un poco de tiempo a esto que hacer que mi servidor de correo desaparezca repentinamente y no vuelva a funcionar automáticamente.

kbyrd
fuente
0

Recomiendo que configure apt para buscar actualizaciones diariamente, pero solo para notificarle que están disponibles y no realizarlas hasta que esté cerca. Siempre existe la posibilidad de que una actualización de apt-get rompa algo o requiera alguna entrada del usuario.

apticron es un buen paquete para hacer esto por usted, o simplemente puede hacer un trabajo cron que ejecute algo como:

apt-get update -qq; apt-get upgrade -duyq

Recomendaría actualizar cada vez que vea algo de alta prioridad o mayor, pero tampoco me gusta esperar hasta que haya 30 o 40 actualizaciones para realizar, porque si algo se rompe, es más difícil restringir exactamente qué paquete rompió su sistema.

Además, dependiendo de los paquetes que esté ejecutando en su servidor LAMP, es posible que desee agregar los repositorios volitile y / o dotdeb de Debian a su lista de repositorios, ya que mantienen mucho más información sobre parches y actualizaciones de patrones de virus que los repositorios estándar de Debian. .

Brent
fuente
0

Usamos cron-apt para automatizar las descargas, y en base al consejo que vi aquí en SF , ahora incluimos una lista fuente con solo repositorios de seguridad en el archivo de configuración cron-apt, por lo que solo las correcciones de seguridad se instalan automáticamente sin ninguna otra acción.

revs nedm
fuente