私はいくつかのubuntuボックスを最新に保ち、パッチを適用しようとしています(10.4.2 LTS)、私が得てきた1つの提案は無人アップグレードの設定です(https://help.ubuntu.com/community/ AutomaticSecurityUpdates)。
過去には、主に更新プロセス中に何かを壊すという妄想のために、自動更新の設定に反対していました。しかし今、私はこれがどれほど有効であるか(そして、パッチを当てていない可能性のあるサーバーを持っている場合と比較してどれくらいのリスクがあるか)に疑問を抱き始めています。これは正気ですか?
Puppetのセットアップも進めていますが、モジュールの作成/ Puppetへのサーバーの移行は遠いようです。
回答:
Ubuntuパッケージのアップデートは最近深刻な大混乱を引き起こしましたので、この時点でパッケージを手動でデプロイすることをお勧めします(いくつかのテストまたは少なくともVMスナップショットの後)保留中のパッチ。
そうは言っても、中央の更新管理ツールがはるかに優れているでしょう。残念ながら、それほど進歩はなかったようです。
likewise-open。認証を壊したのはパッケージの更新でした。セキュリティ更新プログラムであったかどうかはわかりません。しかし、はい、間違いなくデスクトップ上ではなくサーバー上です。
それはあなたの状況に依存すると思います-あなたはリスクを比較検討する必要があります。
更新が失敗すると、どれくらいの損害が発生する可能性がありますか これはリアルタイムで注文を処理する本番サーバーですか?1時間のダウンタイムは多額の費用がかかりますか?
自動更新を実行しないと、ハッカーやゼロデイ攻撃にさらされやすくなります。ハッカーはどれくらいの損害を与えることができますか?サーバーホストは、盗まれた場合、数時間のダウンタイムでさらに多くの費用がかかる可能性のある非常に機密性の高い情報をたくさん持っていますか?
個人的に、私はセキュリティの面で誤りを犯し、無人アップグレードを実行します。しかし、更新が失敗する可能性を最小限に抑えるために、セキュリティ更新のみを行い、残りの更新は手動で行います。
更新プログラムが台無しになっても、マシンがリブートされるまで気付かないでしょう。その場合、更新プログラムが手動でインストールされたか自動でインストールされても違いはありません。