Ubuntu 的無人值守升級/自動更新有多安全

我正在嘗試使幾個 ubuntu 盒子保持最新並打更新檔（10.4.2 LTS），我得到的一個建議是設置無人值守升級（https://help.ubuntu.com/community/自動安全更新）。

過去我一直反對設置自動更新，主要是因為妄想它會在更新過程中破壞某些東西。但是現在我開始質疑這是多麼有效（以及與可能未打更新檔的伺服器相比有多大風險）。這是一個理智的想法嗎？

我們也在設置 Puppet 的過程中，但是創建模組/將伺服器遷移到 puppet 似乎還有很長的路要走。

最近，我的 Ubuntu 軟體包更新嚴重破壞了我，所以我的建議是此時手動部署軟體包（經過一些測試或至少是 VM 快照），使用 apticron 之類的東西向您發送有關待處理的更新檔。

也就是說，中央更新管理工具會好得多。不幸的是，似乎沒有太大進展。

我認為這取決於你的情況——你必須權衡風險。

更新出錯會造成多大的損失？這是一個實時處理訂單的生產伺服器嗎？一個小時的停機時間會花費你很多錢嗎？

如果您不執行自動更新，您將更容易受到黑客和零日漏洞的攻擊。黑客能造成多大的破壞？您的伺服器是否託管了許多非常敏感的資訊，如果這些資訊被盜，您可能會花費更多的停機時間嗎？

就個人而言，我在安全方面犯了錯誤並執行無人值守升級。但是為了最大程度地減少更新出錯的可能性，我只進行安全更新，而我手動進行剩餘的更新。

我認為如果更新要搞砸了，在機器重新啟動之前我不太可能注意到，在這種情況下，無論是手動安裝還是自動安裝更新都沒有區別。

引用自：https://serverfault.com/questions/280907