Debian lenny安定版で自動更新を有効にする必要がありますか？

LAMPとSubversionサーバーになる新しいLinux Debian lennyサーバーをインストールしました。自動更新を有効にする必要がありますか？

有効にすると、最新のセキュリティパッチが確実に適用されます。また、Debian安定版はセキュリティパッチのみを提供するため、システムを破壊することはありません。それらを手動でインストールすると、複数の日と週の間、高いセキュリティリスクにさらされる可能性があります。

私はフルタイムのシステム管理者ではないため、セキュリティ情報を見る時間がないことに注意してください。

サーバーで通常何をしていますか？あなたのアドバイスは何ですか？

（自動アップグレードに関する警告は、以前のポスターから既に表明されています。）

過去数年間のDebianセキュリティチームの実績を考えると、壊れたアップグレードのリスクは、めったにアクセスされないシステムで自動更新を行うことの利点よりもはるかに小さいと考えています。

Debian Lennyには、Ubuntuに由来する無人アップグレードが付属しており、Lenny / 5.0以降のDebianの無人アップグレードの事実上のソリューションと見なされています。

Debianシステムで起動して実行するには、unattended-upgradesパッケージをインストールする必要があります。

次に、これらの行を/etc/apt/apt.conf以下に追加します。

APT :: Periodic :: Update-Package-Lists "1";
APT :: Periodic :: Unattended-Upgrade "1";

（注：Debian Squeeze / 6.0にはありません/etc/apt/apt.conf。推奨される方法は、次のコマンドを使用することです。これにより、上記の行が作成されます/etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure -plow unattended-upgrades

その後、cronジョブが毎晩実行され、インストールする必要があるセキュリティ更新プログラムがあるかどうかがチェックされます。

無人アップグレードによるアクションは、で監視できます/var/log/unattended-upgrades/。カーネルのセキュリティ修正を有効にするには、サーバーを手動で再起動する必要があることに注意してください。これは、計画された（たとえば、毎月の）メンテナンス期間中に自動的に実行することもできます。

Aptには独自のcronジョブ/etc/cron.daily/aptが付属するようになり、ドキュメント自体がファイル自体に含まれています。

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

apticronをインストールして、/ etc / apticron / apticron.confのEMAIL =設定を変更するだけです

Apticronは最新のアップデートを確認してダウンロードします。それらはインストールされません。保留中の更新をメールで送信します。

私のアドバイス：はい、セキュリティアップデートを自動的に入手してください。約4年前に、自動アップデートのない専用のDebianサーバーがありました。私は、ディストリビューションの既知の脆弱性を悪用するワームがリリースされたときに、クリスマスの頃に休暇に行きました（どれを覚えていないか）。休暇から戻ったとき、サーバーがハッキングされました。

私にとって、アプリケーションを破壊するリスクは非常に低く、既知の脆弱性を持つバージョンを実行することによってハッキングされるよりもはるかに低いです。

自動更新は使用しません。うまくいかない場合は、クリーンアップする時間があるときにアップグレードを行うのが好きです。セキュリティ情報を扱いたくない場合は、更新プログラムを確認するのにどれくらい快適であるかを決定し、毎週更新を行うだけにします。「aptitude update; aptitude dist-upgrade（またはaptitude safe-upgrade）」と同じくらい簡単です。

メールサーバーを突然停止させ、自動的に復帰しないようにするよりも、これに少し時間を割くことを好みます。

更新を毎日チェックするようにaptを構成することをお勧めしますが、更新が利用可能であることのみを通知し、周りにいるまで更新を実行しないことをお勧めします。apt-getアップグレードが何かを壊したり、何らかのユーザー入力を必要とする可能性は常にあります。

apticronはこれを行うのに適したパッケージです。または、次のようなものを実行するcronジョブを作成することもできます。

apt-get update -qq; apt-get upgrade -duyq

優先度が高いかそれ以上の何かが表示された場合はいつでもアップグレードすることをお勧めします-しかし、30または40のアップグレードが実行されるまで待つのも好きではありません。

また、LAMPサーバーで実行しているパッケージに応じて、debianの標準リポジトリよりもパッチやウイルスパターンの更新をはるかに優先するため、debian volitileリポジトリやdotdebリポジトリをリポジトリリストに追加できます。 。

cron-aptを使用してダウンロードを自動化します.SFでここで見たアドバイスに基づいて、セキュリティリポジトリのみを含むソースリストをcron-apt configファイルに含めるようになりましたので、セキュリティ修正のみが追加のアクションなしで自動的にインストールされます。