Ubuntu
Ubuntu 的無人值守升級/自動更新有多安全
我正在嘗試使幾個 ubuntu 盒子保持最新並打更新檔(10.4.2 LTS),我得到的一個建議是設置無人值守升級(https://help.ubuntu.com/community/自動安全更新)。
過去我一直反對設置自動更新,主要是因為妄想它會在更新過程中破壞某些東西。但是現在我開始質疑這是多麼有效(以及與可能未打更新檔的伺服器相比有多大風險)。這是一個理智的想法嗎?
我們也在設置 Puppet 的過程中,但是創建模組/將伺服器遷移到 puppet 似乎還有很長的路要走。
最近,我的 Ubuntu 軟體包更新嚴重破壞了我,所以我的建議是此時手動部署軟體包(經過一些測試或至少是 VM 快照),使用 apticron 之類的東西向您發送有關待處理的更新檔。
也就是說,中央更新管理工具會好得多。不幸的是,似乎沒有太大進展。
我認為這取決於你的情況——你必須權衡風險。
更新出錯會造成多大的損失?這是一個實時處理訂單的生產伺服器嗎?一個小時的停機時間會花費你很多錢嗎?
如果您不執行自動更新,您將更容易受到黑客和零日漏洞的攻擊。黑客能造成多大的破壞?您的伺服器是否託管了許多非常敏感的資訊,如果這些資訊被盜,您可能會花費更多的停機時間嗎?
就個人而言,我在安全方面犯了錯誤並執行無人值守升級。但是為了最大程度地減少更新出錯的可能性,我只進行安全更新,而我手動進行剩餘的更新。
我認為如果更新要搞砸了,在機器重新啟動之前我不太可能注意到,在這種情況下,無論是手動安裝還是自動安裝更新都沒有區別。