Antworten:
Es kann sicher sein - oder genauer gesagt, das Risiko kann in Ihrem Komfortbereich liegen. Die Höhe des akzeptablen Risikos hängt von mehreren Faktoren ab.
Haben Sie ein gutes Backup-System, mit dem Sie bei einem Defekt schnell zurückkehren können?
Leiten Sie Server-Abmeldungen an ein Remotesystem weiter, sodass Sie, wenn die Box nicht mehr funktioniert, immer noch wissen, was passiert ist?
Sind Sie bereit, die Möglichkeit zu akzeptieren, dass etwas kaputt geht, und müssen Sie möglicherweise eine schnelle Wiederherstellung / Wiederherstellung des Systems durchführen, wenn etwas fehlschlägt?
Haben Sie selbst irgendetwas manuell kompiliert oder stammt wirklich alles, was auf Ihrem System installiert ist, aus den offiziellen Repositories? Wenn Sie etwas lokal installiert haben, besteht die Möglichkeit, dass eine vorgelagerte Änderung Ihre lokal gewartete / installierte Software beschädigt.
Welche Rolle spielt dieses System? Ist es etwas, das kaum zu übersehen wäre, wenn es gestorben wäre (z. B. ein sekundärer DNS-Server) oder ist es das Kernstück Ihrer Infrastruktur (z. B. LDAP-Server oder primärer Dateiserver)?
Möchten Sie dies einrichten, weil niemand, der für den Server verantwortlich ist, die Zeit hat, die Sicherheitspatches zu verwalten? Das potenzielle Risiko, durch eine nicht gepatchte Sicherheitsanfälligkeit gefährdet zu werden, ist möglicherweise höher als das Potenzial für ein fehlerhaftes Update.
Wenn Sie wirklich glauben, dass Sie dies tun möchten, empfehle ich Ihnen, eines der Tools zu verwenden, die es für diesen Zweck bereits gibt cron-apt
. Sie haben eine Logik, um sicherer zu sein als nur ein Blind apt-get -y update
.
apt-get upgrade
, nicht apt-get update
wahr?
apt-get update
ist es ziemlich schwer, irgendetwas zu zerbrechen.
Es ist im Allgemeinen sicher, aber ich würde es aus einem einfachen Grund nicht empfehlen:
In der Produktionsumgebung müssen Sie genau wissen, was darauf ist oder was darauf sein soll, und in der Lage sein, diesen Zustand mühelos zu reproduzieren.
Alle Änderungen sollten über den Change Management-Prozess vorgenommen werden, bei dem das Unternehmen genau weiß, worauf es sich einlässt, damit es später analysieren kann, was schief gelaufen ist und so weiter.
Nächtliche Updates machen diese Art der Analyse unmöglich oder schwieriger.
Ich könnte das auf einem stabilen oder auf Ubuntu machen, aber nicht auf einem instabilen Zweig oder sogar auf dem Testzweig.
Wenn ich meinen Sysadmin-Hut aufsetze, glaube ich, dass ich alle Updates manuell anwenden sollte, damit ich die Konsistenz zwischen den Servern aufrechterhalten kann - und auch, damit ich weiß, wann ich das letzte Mal aktualisiert habe, wenn eines Tages ein Dienst ausfällt Bedienung. Das ist etwas, was ich möglicherweise nicht überprüfe, wenn Updates automatisch durchgeführt werden.
Wir verwenden auf den meisten Debian-Systemen ein stabiles und zeitgesteuertes Upgrade für Dienstagabend (entspricht den Microsoft-Updates "Patch Dienstag"). Das klappt gut. Wir haben auch alle Aktualisierungsereignisse in Nagios protokolliert, sodass wir den Verlauf der letzten Aktualisierungen auf einem beliebigen Server anzeigen können.
Wenn Sie angeben, dass dies ein "Produktions" -Server ist, bedeutet dies, dass es auch Entwicklungs- und Testserver gibt? In diesem Fall sollten die Patches auf diesen Systemen getestet werden, bevor sie auf der Produktionsbox installiert werden.
Ich würde es nicht tun. Es passieren schlimme Patches und ich möchte nicht, dass ein System mitten in der Nacht ausfällt oder ich ansonsten nicht erreichbar wäre. Sie sollten in ein Wartungsfenster verschoben werden, wenn ein Administrator verfügbar ist, um das Update zu überwachen.
Ich erinnere mich, dass ich das in einem früheren Job gemacht habe. Ich hatte Probleme auf dem Produktionsserver, weil ein Update eine Konfigurationsdatei automatisch neu geschrieben hat.
Daher rate ich Ihnen, Updates zu überwachen.
Wenn die Alternative darin besteht, Updates unregelmäßig anzuwenden, Sie Sicherheitsupdates nicht aktiv verfolgen und einen vanillestabilen Lenny ausführen, erhöht die automatische Aktualisierung wahrscheinlich die Sicherheit Ihres Computers, da Sie bekannte Sicherheitslücken schneller aktualisieren.
Ubuntu Server verfügt über ein Paket, mit dem Sicherheitsupdates automatisch aktualisiert werden können. Damit können Sie auch bestimmte Apps auf die Blacklist setzen. Es geht auch um Apticron, das Sie per E-Mail benachrichtigt, wenn Updates für Ihren Server verfügbar sind.
Auf den folgenden Seiten erfahren Sie mehr darüber, je nachdem, welche Version von Ubuntu Server Sie verwenden.
EDIT: Angenommen, Sie verwenden Ubuntu. Obwohl ich wetten würde, dass die gleichen Pakete und Lösungen auf Debian verfügbar sind.
Dies hängt von Ihrer Infrastruktur ab. Wenn ich eine einzelne Maschine habe, dann überprüfe ich normalerweise die Updates und sehe, was ich brauche oder was ich vermeiden kann. Wenn ich einen Cluster verwende, rolle ich die Änderungen irgendwann auf einer Maschine aus und sehe, wie sie verlaufen, und rolle sie dann auf die anderen Maschinen aus, wenn alles in Ordnung zu sein scheint.
Datenbank-Upgrades Ich habe immer ein genaues Auge auf.
Wenn Sie ein Dateisystem haben, das Snap-Shotting unterstützt, kann es sehr nützlich sein, ein Snapshot des Systems zu erstellen, Updates anzuwenden und dann die Option zu haben, die Änderungen rückgängig zu machen, wenn schreckliche Probleme auftreten.
Versuchen Sie herauszufinden, warum ein Paket aktualisiert wird? ist es ein Bugfix? Sicherheitsupdate? ist es ein lokaler Befehl oder ein Remote-Netzwerkdienst ?. Wurde die Software mit den neuen Updates getestet?
Kernel-Updates sollten mit größerer Vorsicht durchgeführt werden. Versuchen Sie herauszufinden, warum der Kernel aktualisiert wird. Benötigen Sie diese Änderungen wirklich? wird es Ihre Anwendung beeinflussen. Muss ich dies aus Sicherheitsgründen anwenden?
9 von 10 Software-Updates verlaufen reibungslos, aber es kommt selten vor, dass Sie Ihren Computer als Müllhaufen zurücklassen, einen Rollback- oder Systemwiederherstellungsplan haben.
apt-get upgrade -y
eher als nachupdate
? Gibt es eine-y
Flagge fürupdate
?