Haruskah saya mengaktifkan pembaruan otomatis pada Debian lenny stable?

Saya telah menginstal server Linux Debian lenny baru yang akan menjadi LAMP dan server Subversion . Haruskah saya mengaktifkan pembaruan otomatis?

Jika saya mengaktifkannya, saya yakin saya memiliki patch keamanan terbaru. Seharusnya juga tidak merusak sistem saya karena Debian stable hanya menyediakan patch keamanan. Jika saya menginstalnya secara manual, saya mungkin menghadapi risiko keamanan tinggi selama beberapa hari & minggu.

Harap diingat bahwa saya bukan administrator sistem penuh waktu, jadi saya tidak punya waktu untuk melihat buletin keamanan.

Apa yang biasanya Anda lakukan dengan server Anda? Apa nasihatmu?

(Peringatan tentang peningkatan otomatis telah disuarakan oleh poster sebelumnya.)

Mengingat rekam jejak tim Keamanan Debian dalam beberapa tahun terakhir, saya menganggap risiko peningkatan yang rusak jauh lebih sedikit daripada manfaat memiliki pembaruan otomatis pada sistem yang jarang dikunjungi.

Debian Lenny hadir dengan upgrade tanpa pengawasan , yang berasal dari Ubuntu dan dianggap sebagai solusi defacto untuk upgrade tanpa pengawasan untuk Debian mulai dari Lenny / 5.0.

Untuk mendapatkannya dan berjalan di sistem Debian Anda harus menginstal unattended-upgradespaket.

Kemudian tambahkan baris ini ke /etc/apt/apt.conf:

APT :: Periodic :: Pembaruan-Daftar-Paket "1";
APT :: Periodic :: Upgrade tanpa pengawasan "1";

(Catatan: Di Debian Squeeze / 6.0 tidak ada /etc/apt/apt.conf. Metode yang disukai adalah menggunakan perintah berikut, yang akan membuat baris di atas di /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure -plow unattended-upgrade

Pekerjaan cron kemudian dijalankan setiap malam dan memeriksa apakah ada pembaruan keamanan yang perlu diinstal.

Tindakan dengan peningkatan tanpa pengawasan dapat dipantau di /var/log/unattended-upgrades/. Berhati-hatilah, agar perbaikan keamanan kernel menjadi aktif, Anda harus mem-boot ulang server secara manual. Ini juga dapat dilakukan secara otomatis selama jendela pemeliharaan yang direncanakan (misalnya bulanan).

Apt sekarang hadir dengan tugas cronnya sendiri /etc/cron.daily/apt dan documentaion ditemukan dalam file itu sendiri:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

Cukup instal apticron dan ubah pengaturan EMAIL = di /etc/apticron/apticron.conf

Apticron akan memeriksa pembaruan terbaru dan mengunduhnya. Ini TIDAK akan menginstalnya. Ini akan mengirimi Anda email dengan pembaruan yang tertunda.

Saran saya: ya, dapatkan pembaruan keamanan secara otomatis. Saya memiliki server Debian khusus sekitar 4 tahun yang lalu, tanpa pembaruan otomatis. Saya pergi berlibur sekitar Natal ketika worm dirilis yang mengeksploitasi kerentanan yang diketahui dalam distribusi (tidak ingat yang mana). Ketika saya kembali dari liburan, server saya diretas.

Bagi saya, risiko untuk menghancurkan aplikasi sangat rendah, jauh lebih rendah daripada diretas dengan menjalankan versi dengan kerentanan yang sudah diketahui.

Saya tidak pernah menggunakan pembaruan otomatis. Saya suka upgrade yang harus dilakukan ketika saya ada waktu untuk membereskannya jika salah. Jika Anda tidak ingin berurusan dengan buletin keamanan memutuskan berapa lama Anda merasa nyaman antara memeriksa pembaruan dan hanya memutuskan untuk melakukan pembaruan setiap minggu. Ini sesederhana: "pembaruan aptitude; upgrade aptitude (atau upgrade aman aptitude)"

Saya lebih suka mendedikasikan sedikit waktu untuk ini daripada membiarkan server email saya pergi tiba-tiba dan tidak muncul kembali secara otomatis.

Saya akan merekomendasikan Anda mengkonfigurasi apt untuk memeriksa pembaruan setiap hari, tetapi hanya untuk memberi tahu Anda bahwa mereka tersedia, dan tidak melakukan sampai Anda ada di sekitar. Selalu ada kemungkinan bahwa peningkatan apt-get akan merusak sesuatu, atau memerlukan beberapa input pengguna.

apticron adalah paket yang baik untuk melakukan ini untuk Anda, atau Anda bisa membuat pekerjaan cron yang mengeksekusi sesuatu seperti:

apt-get update -qq; apt-get upgrade -duyq

Saya akan merekomendasikan untuk meningkatkan kapan pun Anda melihat sesuatu yang memiliki prioritas tinggi atau lebih besar - tetapi saya juga tidak suka menunggu sampai ada 30 atau 40 peningkatan untuk dilakukan - karena dengan demikian jika ada sesuatu yang lebih sulit untuk mempersempit paket mana yang merusak sistem Anda.

Juga, tergantung pada paket apa yang Anda jalankan di server LAMP Anda, Anda mungkin ingin menambahkan repositori debian volitile dan / atau dotdeb ke daftar repositori Anda, karena mereka menyimpan lebih banyak di atas tambalan dan pembaruan pola virus daripada repo standar debian lakukan .

Kami menggunakan cron-apt untuk mengotomatisasi unduhan, dan berdasarkan saran yang saya lihat di sini di SF kami sekarang menyertakan daftar sumber dengan hanya repositori keamanan dalam file konfigurasi cron-apt, sehingga hanya perbaikan keamanan yang diinstal secara otomatis tanpa tindakan lebih lanjut.