Best Practices für die Aktualisierung von EC2 Ubuntu-Computern

Nach der jüngsten Heartbleed Verwundbarkeit von OpenSSL, würde Ich mag meine EC2 Maschinen regelmäßig aktualisiert halten. Der naive Ansatz wäre, einen stündlichen Cron-Job für Sicherheitsupdates festzulegen ( sudo apt-get update && sudo unattended-upgrade).

Gibt es dafür Risiken? Gibt es einen empfohlenen Aktualisierungsmechanismus für EC2-Maschinen?

unattended-upgrades

— Adam Matan
quelle

Das Paket für unbeaufsichtigte Upgrades ist die Standardmethode, um wichtige Fehlerkorrekturen und Sicherheitspatches in Ubuntu automatisch anzuwenden.

Ich empfehle, dies auf jedem Ubuntu-System zu installieren:

sudo apt-get update &&
sudo apt-get install unattended-upgrades

Sie müssen keinen eigenen Cron-Job erstellen. Das Paket installiert eine für Sie.

Sie können die Standardkonfiguration bearbeiten, wenn Sie ihr Verhalten ändern möchten: https://help.ubuntu.com/lts/serverguide/automatic-updates.html

— Eric Hammond
quelle

Irgendwelche Gedanken darüber, ob dies auf einem Produktionsserver ratsam ist? Es macht mich nervös, Änderungen stillschweigend anwenden zu lassen und das Risiko einzugehen, dass das Update fehlschlägt oder Probleme verursacht.

— Ianjs

Mit "jedem" meinte ich auch Produktionssysteme. Ich wende Ubuntu-Sicherheitspatches seit vielen Jahren automatisch an und kann mich an keine ernsthaften Probleme erinnern. Es macht mich nervös, einen Produktionsserver ohne Patches für bekannte Sicherheitsprobleme dort zu haben und die Möglichkeit zu riskieren, dass sie ausgenutzt werden. Das heißt, jede Situation hat unterschiedliche Anforderungen, so dass Sie möglicherweise besser dran sind, eine strenge Testphase für jeden Patch zu durchlaufen. Beachten Sie jedoch, dass sie ständig veröffentlicht werden, sodass Sie beschäftigt sind.

— Eric Hammond

Ich nicht empfehlen dies , wenn Sie ein redundantes / Cluster - Setup haben. Die Update-Prozeduren von Ubuntu sind nicht auf dem neuesten Stand, ich habe Dienste mehrmals gestoppt und zuletzt sogar einen kaputten Bootsektor ... Und wir haben nichts Besonderes - nur Apache als Reverse-Proxy- und Tomcat-Anwendungen.

— Dualed