Sollte ich automatische Sicherheitsupdates auf einem Ubuntu-Server aktivieren? [geschlossen]

Ich kann anscheinend nirgendwo eine vereinbarte Antwort darauf finden, also dachte ich mir, ich würde es selbst fragen.

Ich habe fünf Ubuntu-Server, auf denen entweder 12.04 oder 14.04 ausgeführt wird. Soll ich automatische Sicherheitsupdates für diese aktivieren unattended-upgrades? Oder sollte ich einfach jeden Monat manuelle Updates ausführen?

Damit meine ich, ist es sicher / könnte die Aktivierung dieser Probleme zu Betriebssystem- / Sicherheitsproblemen führen? Wiegen die Vorteile die Nachteile auf?

Dies hängt davon ab, was Ihre Maschine letztendlich tut. Führt es geschäftskritische Anwendungen aus, die NIEMALS abstürzen können? Wahrscheinlich nicht das Beste für automatische Updates. Befindet es sich am Austrittspunkt Ihres Netzwerks? wahrscheinlich ein guter Kandidat.

Es kommt darauf an, Sicherheit und Stabilität abzuwägen und herauszufinden, was Ihre akzeptablen Kompromisse sind. Höchstwahrscheinlich werden Sie nicht das Ziel eines Null-Tages sein, aber vielleicht haben Sie sehr sensible Daten, die absolut nicht herauskommen können. Es ist eine Entscheidung, die Sie treffen müssen.

Mein Vorschlag ist, Ihr Netzwerk so zu gestalten, dass die meisten Sicherheitsfilterungen am Rand Ihres Netzwerks durchgeführt werden (Blockieren externer Anwendungen, Smart Fire Walling, mögliche DMZ usw.) und den Rest dann so zu behandeln am besten für Ihr Unternehmen geeignet - ob dies nächtliche Neustarts mit Updates oder wöchentlich oder automatisch bedeutet :)

Ja. Sie sollten diese automatischen Updates aktivieren. Es ist weitaus wahrscheinlicher, dass Ihr System durch das Fehlen oder Verzögern eines Updates gefährdet wird, als dass sich diese Updates negativ auf Ihr laufendes System auswirken.

Ich denke, es ist eine gute Idee, unbeaufsichtigte Upgrades zu aktivieren.

Ich habe jahrelang unbeaufsichtigte Upgrades sowohl für Debian Stable- als auch für Ubuntu lts-Releases verwendet und nie ein Problem damit gefunden. Nur solange Sie nur die Sicherheitsupdates und möglicherweise die regulären Updates aktivieren. Und unbeaufsichtigte Upgrades aktualisieren nichts, wenn Benutzereingaben erforderlich sind

Wenn Sie sich an stabile Versionen von Debian oder Ubuntu oder Redhat / Centos halten, können Sie im Allgemeinen sicher sein, dass deren Updates stabil sind und nichts durcheinander bringen.

Wenn Sie auf etwas wie Apache angewiesen sind, können Sie den Paketmanager selektiv anweisen, es nicht zu aktualisieren, und dies von Hand tun.

Außerdem riskiere ich eher, etwas zu beschädigen, als einen Server wegen fehlender Sicherheitspatches hacken zu lassen.

Meine Faustregel lautet, dass ich das Sicherheitsupdate (und häufig auch das Nicht-Sicherheitsupdate) auf virtuellen Maschinen aktiviert lasse, aber ein Systemupdate auf Bare-Metal-Instanzen manuell plane.

Schließlich ist es mit einer VM und einer guten Sicherungsstrategie sehr einfach, sie wiederherzustellen, während mit Bare-Metal-Dingen die Dinge komplexer werden.

In einer idealen Welt verfügen Sie zusätzlich zu Ihren Produktionsservern über zusätzliche Nichtproduktionssysteme, mit denen Sie sowohl Ihre eigenen Anwendungen als auch das Betriebssystem testen (aktualisieren) können.

Erst wenn Sie in dieser Testumgebung überprüft haben, dass keine der aktualisierten Softwarekomponenten Ihre vorhandene Konfiguration beschädigt, sollten diese auf Ihre Produktionsumgebung angewendet werden.

Das würde gegen automatisierte Updates sprechen.

Normalerweise möchten Sie einen bestimmten Automatisierungsgrad, sodass Sie sich nach dem Planen eines Updates nicht bei jedem einzelnen System anmelden müssen, um sie manuell zu patchen :)