Qué tan seguras son las actualizaciones desatendidas / actualizaciones automáticas para Ubuntu

14

Estoy en el proceso de tratar de mantener varios cuadros de ubuntu actualizados y parcheados (10.4.2 LTS), una sugerencia que he estado recibiendo es configurar actualizaciones desatendidas ( https://help.ubuntu.com/community/ AutomaticSecurityUpdates ).

En el pasado, he estado en contra de la configuración de actualizaciones automáticas, principalmente debido a la paranoia de que romperá algo durante el proceso de actualización. Sin embargo, ahora estoy empezando a preguntarme qué tan válido es esto (y cuánto riesgo es en comparación con tener servidores potencialmente no parcheados). ¿Es esta una idea sensata?

También estamos en el proceso de configuración de Puppet, sin embargo, la creación de módulos / migración de servidores a Puppet parece estar muy lejos.

Pratik Amin
fuente

Respuestas:

6

He tenido actualizaciones de paquetes de Ubuntu que causaron graves estragos en el pasado reciente, por lo que mi recomendación sería implementar manualmente los paquetes en este momento (después de algunas pruebas o al menos una instantánea de VM) con algo como apticron para enviarle un correo electrónico. parches pendientes

Dicho esto, una herramienta central de administración de actualizaciones sería mucho mejor. Desafortunadamente, no parece haber habido mucho progreso .

Shane Madden
fuente
1
Cuando tuvo problemas, ¿puede confirmar que estaban en un servidor Ubuntu y no en un escritorio? Además, ¿tuvo algún problema con una actualización de seguridad o una actualización estándar?
Mark Stosberg
1
@ MarkStosberg No puedo recordar exactamente qué problema de actualización de paquete fue con lo que me encontré en esta época el año pasado ... Quiero decir que fue una actualización del likewise-openpaquete que rompió la autenticación; No estoy seguro si fue una actualización de seguridad o no. Pero sí, definitivamente en servidores, no en escritorios.
Shane Madden
8

Creo que depende de su situación: debe sopesar los riesgos.

¿Cuánto daño puede causar una actualización que sale mal? ¿Es este un servidor de producción que procesa pedidos en tiempo real? ¿Una hora de inactividad le costaría mucho dinero?

Si no ejecuta actualizaciones automáticas, está más expuesto a los piratas informáticos y las vulnerabilidades de día cero. ¿Cuánto daño podría hacer un hacker? ¿Su servidor aloja una gran cantidad de información confidencial que, si es robada, podría costarle mucho más que un par de horas de inactividad?

Personalmente, me equivoco del lado de la seguridad y ejecuto actualizaciones desatendidas. Pero para minimizar el potencial de que una actualización se arruine, solo hago actualizaciones de seguridad, y hago las actualizaciones restantes manualmente.

Creo que si una actualización va a fallar, es poco probable que lo note hasta que la máquina se haya reiniciado, en cuyo caso si la actualización se instaló manual o automáticamente no hay diferencia.

aidan
fuente