apt-get updateを毎晩実行しても安全ですか？

apt-get update -y本番サーバーでcron を実行しても安全ですか？

安全な場合もありますが、より正確には、リスクのレベルは快適な範囲内である場合があります。許容可能なリスクのレベルは、いくつかの要因に依存します。

何かが壊れた場合にすぐに元に戻すことができる優れたバックアップシステムがありますか？

サーバーがリモートシステムにログオフするので、ボックスがいっぱいになった場合でも何が起こったかを知ることができますか？

何かが壊れる可能性があり、何かが失敗した場合、システムで迅速な復元/復元を実行する必要がある可能性を受け入れますか？

自分で何かを手動でコンパイルしたことがありますか、それともシステムにインストールされたものはすべて公式リポジトリからのものでしたか？何かをローカルにインストールした場合、アップストリームの変更がローカルのメンテナンス/インストールされたソフトウェアを破壊する可能性があります。

このシステムの役割は何ですか？死亡した場合にほとんど見落とされないもの（セカンダリDNSサーバーなど）か、インフラストラクチャの中核部分（LDAPサーバーやプライマリファイルサーバーなど）でしょうか。

サーバーの責任者がセキュリティパッチを保守する時間がないため、これを設定しますか？パッチ未適用の脆弱性によって危険にさらされる潜在的なリスクは、不正な更新の可能性よりも高い可能性があります。

あなたが本当にこれをやりたいと思うなら、私はあなたがすでにこのような目的のためにそこにあるツールの1つを使用することをお勧めしますcron-apt。彼らはただの盲人より安全であるために何らかの論理を持っていapt-get -y updateます。

はい、アップグレードではなく更新について話している限り。Aptは、次の行を追加すればそれを行います。

APT::Periodic::Update-Package-Lists "1";

下のファイルに /etc/apt/apt.conf.d/

一般に安全ですが、単純な理由でお勧めしません。

• 既知の状態を失います。

実稼働環境では、何が上にあるのか、何が上にあるのかを正確に把握し、その状態を簡単に再現できる必要があります。

すべての変更は、変更管理プロセスを介して行う必要があります。変更管理プロセスでは、会社は何が起こっているかを完全に認識しているため、後で何が間違っているかなどを分析できます。

毎晩の更新により、この種の分析は不可能になります。

私は安定版やUbuntuでそれをするかもしれませんが、不安定なブランチやテスト用のブランチではできません。

ただし、システム管理者の帽子をかぶるときは、すべての更新を手動で適用する必要があると考えています。そのため、サーバー間の一貫性を維持できます。また、ある日サービスが中断した場合に、いつ最後に更新したかがわかりますサービス。これは、更新が自動的に進行しているかどうかを確認できない場合があります。

ほとんどのDebianシステムで火曜日の夜に安定したapt-getアップグレードを使用します（Microsoftの「パッチ火曜日」の更新と一致します）。それはうまくいきます。また、すべてのアップグレードイベントがNagiosに記録されるため、どのサーバーでアップグレードが最後に実行されたかの履歴を確認できます。

これが「実稼働」サーバーであると指定した場合、それは開発およびテストサーバーもあることを意味しますか？その場合は、実稼働ボックスにインストールする前に、それらのシステムでパッチをテストする必要があります。

しません 悪いパッチが実際に発生し、真夜中にシステムが故障したり、他の方法で利用できなかったりしたくないと思います。管理者が更新を監視できる場合は、メンテナンスウィンドウにプッシュする必要があります。

前の仕事でそれをしたことを覚えています。更新により構成ファイルが自動的に書き換えられたため、実稼働サーバーで問題が発生しました。

したがって、更新を監視することをお勧めします。

代替手段が不規則に更新プログラムを適用する場合、セキュリティ更新プログラムを積極的に追跡せず、バニラの安定したレニーを実行している場合、既知のセキュリティホールをより迅速に更新するため、自動更新によりマシンのセキュリティがおそらく向上します

Ubuntu Serverには、セキュリティ更新プログラムを自動更新できるパッケージがあります。特定のアプリをブラックリストに登録することもできます。また、サーバーで利用可能な更新がある場合にメールで通知するapticronについても説明します。

実行しているUbuntu Serverのバージョンに応じて、次のページで詳細を確認できます。

• 8.10
• 9.04
• 9.10

編集：Ubuntuを実行していると仮定します。私は同じパッケージを賭けますが、ソリューションはDebianで利用可能です。

cron-aptを見てください。デフォルトではリストとパッケージファイルのみをダウンロードしますが、メールを送信するように調整したり、システムをアップグレードすることもできます。

これはインフラストラクチャに依存します。マシンが1台の場合、通常は更新を確認し、必要なものまたは回避できるものを確認します。クラスターを使用している場合、1台のマシンで変更をロールアウトし、それらがどのように進行するかを確認し、すべてが問題ないようであれば、他のマシンにロールアウトします。

データベースのアップグレード私は常に注視しています。

スナップショットをサポートするファイルシステムがある場合、システムのスナップショットを作成し、更新を適用し、何かがひどく間違った場合に変更をロールバックするオプションがあります。

パッケージがアップグレードされている理由を調べてみませんか？バグ修正ですか？セキュリティ修正？それはローカルコマンドですか、リモートネットワークサービスですか？ソフトウェアは新しいアップデートでテストされていますか？

カーネルの更新には、より注意してアプローチする必要があります。カーネルがアップグレードされている理由を試してみてください。これらの変更が本当に必要ですか？アプリケーションに影響します。セキュリティのためにこれを適用する必要がありますか？

10回のソフトウェアアップデートのうち9回はスムーズに進みますが、ごくまれに、ごみが山積みになり、ロールバックまたはシステムリカバリプランが整っていることがあります。