คำตอบ:
มันอาจจะปลอดภัย - หรือแม่นยำกว่าระดับความเสี่ยงอาจอยู่ในระดับที่คุณสะดวกสบาย ระดับความเสี่ยงที่ยอมรับได้จะขึ้นอยู่กับหลายปัจจัย
คุณมีระบบสำรองข้อมูลที่ดีที่จะช่วยให้คุณย้อนกลับอย่างรวดเร็วหากมีสิ่งผิดปกติหรือไม่?
คุณกำลังส่งต่อเซิร์ฟเวอร์ออกจากระบบไปยังระบบระยะไกลหรือไม่หากกล่องเกิดปัญหาคุณจะรู้ว่าเกิดอะไรขึ้น
คุณยินดีที่จะยอมรับความเป็นไปได้ที่บางสิ่งบางอย่างอาจผิดพลาดและคุณอาจต้องทำการกู้คืน / เปลี่ยนกลับอย่างรวดเร็วในระบบหากมีสิ่งใดล้มเหลว
คุณรวบรวมอะไรด้วยตัวเองหรือว่าทุกอย่างที่ติดตั้งในระบบของคุณมาจากที่เก็บอย่างเป็นทางการหรือไม่? หากคุณติดตั้งบางอย่างในเครื่องอาจเป็นไปได้ว่าการเปลี่ยนแปลงอัปสตรีมอาจทำให้ซอฟต์แวร์ที่บำรุงรักษา / ติดตั้งไว้ในเครื่องของคุณเสียหาย
บทบาทของระบบนี้คืออะไร? มันเป็นสิ่งที่แทบจะไม่ได้รับถ้าเสียชีวิต (เช่นเซิร์ฟเวอร์ DNS รอง) หรือเป็นชิ้นส่วนหลักของโครงสร้างพื้นฐานของคุณ (เช่นเซิร์ฟเวอร์ LDAP หรือไฟล์เซิร์ฟเวอร์หลัก)
คุณต้องการตั้งค่านี้เนื่องจากไม่มีใครรับผิดชอบต่อเซิร์ฟเวอร์ที่มีเวลาในการดูแลรักษาความปลอดภัยหรือไม่? ความเสี่ยงที่อาจเกิดขึ้นจากการถูกโจมตีโดยช่องโหว่ที่ไม่ได้รับการแก้ไขอาจสูงกว่าดังนั้นโอกาสที่จะเกิดการอัปเดตที่ไม่ดี
หากคุณคิดว่าคุณต้องการทำสิ่งนี้จริงๆฉันขอแนะนำให้คุณใช้หนึ่งในเครื่องมือที่มีอยู่แล้วเพื่อจุดประสงค์cron-aptนี้ apt-get -y updateพวกเขามีเหตุผลบางอย่างที่จะมีความปลอดภัยแล้วก็ตาบอด
apt-get upgradeไม่ได้apt-get updateใช่มั้ย?
apt-get updateมันค่อนข้างยากที่จะทำลายอะไร
ใช่ตราบใดที่คุณกำลังพูดถึงการอัปเดตและไม่อัปเกรดอัพเกรดApt จะทำเพื่อคุณเช่นกันหากคุณใส่บรรทัด:
APT::Periodic::Update-Package-Lists "1";
ในไฟล์ภายใต้ /etc/apt/apt.conf.d/
โดยทั่วไปแล้วจะปลอดภัย แต่ฉันจะไม่แนะนำด้วยเหตุผลง่ายๆ:
ในสภาพแวดล้อมการผลิตคุณจำเป็นต้องรู้ว่ามีอะไรอยู่ในนั้นหรือสิ่งที่ควรจะอยู่ในนั้นและสามารถสร้างสถานะนั้นได้อย่างง่ายดาย
การเปลี่ยนแปลงใด ๆ ที่ควรทำผ่านกระบวนการจัดการการเปลี่ยนแปลงที่ บริษัท ตระหนักถึงสิ่งที่พวกเขากำลังเข้าสู่เพื่อให้พวกเขาสามารถวิเคราะห์สิ่งที่ผิดพลาดและอื่น ๆ ในภายหลัง
การอัปเดตทุกคืนทำให้การวิเคราะห์ประเภทนี้เป็นไปไม่ได้หรือทำได้ยากกว่า
ฉันอาจทำเช่นนั้นในเสถียรภาพหรือบน Ubuntu แต่ไม่ได้อยู่ในสาขาที่ไม่เสถียรหรือแม้กระทั่งสาขาการทดสอบ
แม้ว่าเมื่อฉันเปิดระบบดูแลระบบฉันเชื่อว่าฉันควรใช้การอัปเดตทั้งหมดด้วยตนเองเพื่อให้ฉันสามารถรักษาความสอดคล้องกันระหว่างเซิร์ฟเวอร์ - และเพื่อให้ถ้าบริการหนึ่งวันหยุดฉันรู้ว่าเมื่อฉันอัปเดตครั้งล่าสุดที่ บริการ. นั่นเป็นสิ่งที่ฉันอาจไม่ตรวจสอบว่ามีการอัปเดตโดยอัตโนมัติหรือไม่
เราใช้การอัปเกรดที่มีเสถียรภาพและกำหนดตารางเวลาสำหรับเย็นวันอังคารในระบบ Debian ส่วนใหญ่ของเรา (เกิดขึ้นพร้อมกับการอัปเดต "วันอังคาร" ของ Microsoft) มันออกมาได้ดี นอกจากนี้เรายังได้บันทึกเหตุการณ์การอัพเกรดทั้งหมดไว้ที่ Nagios ด้วยเหตุนี้เราจึงสามารถดูประวัติของการอัปเกรดที่ดำเนินการครั้งล่าสุดบนเซิร์ฟเวอร์ใด ๆ
เมื่อคุณระบุว่านี่คือเซิร์ฟเวอร์ "การผลิต" นั่นหมายความว่ามีการพัฒนาและทดสอบเซิร์ฟเวอร์ด้วยหรือไม่ ถ้าเป็นเช่นนั้นแพทช์ควรทดสอบในระบบเหล่านั้นก่อนที่จะติดตั้งในกล่องผลิต
ฉันจะไม่ทำมัน แพตช์ที่ไม่ดีเกิดขึ้นและฉันไม่ต้องการให้ระบบทำงานล้มเหลวในตอนกลางคืนหรือในขณะที่ฉันไม่สามารถใช้งานได้ ควรถูกพุชในหน้าต่างการบำรุงรักษาเมื่อผู้ดูแลระบบสามารถตรวจสอบการอัพเดตได้
ฉันจำได้ว่าทำอย่างนั้นในงานก่อนหน้า; ฉันลงเอยด้วยปัญหาบนเซิร์ฟเวอร์ที่ใช้งานจริงเนื่องจากการอัปเดตเขียนไฟล์ปรับแต่งใหม่โดยอัตโนมัติ
ดังนั้นฉันจะแนะนำให้คุณดูแลการปรับปรุง
หากทางเลือกอื่นใช้การอัพเดทอย่างสม่ำเสมอคุณจะไม่ติดตามการอัพเดทความปลอดภัยอย่างแข็งขันและคุณกำลังเรียกใช้ Lenny เสถียรจากนั้นการอัพเดทอัตโนมัติอาจเพิ่มความปลอดภัยให้กับเครื่องของคุณเนื่องจากคุณจะอัพเดทรูโหว่ที่รู้จักเร็วขึ้น
เซิร์ฟเวอร์ Ubuntu มีแพ็คเกจที่จะอนุญาตให้อัปเดตความปลอดภัยอัตโนมัติ อนุญาตให้คุณขึ้นบัญชีดำแอพบางแอปเช่นกัน นอกจากนี้ยังพูดถึง apticron ซึ่งจะส่งอีเมลถึงคุณเมื่อมีการอัปเดตสำหรับเซิร์ฟเวอร์ของคุณ
คุณสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับมันได้ในหน้าต่อไปนี้ขึ้นอยู่กับ Ubuntu Server รุ่นที่คุณใช้
แก้ไข: สมมติว่าคุณกำลังใช้งาน Ubuntu แม้ว่าฉันจะเดิมพันแพคเกจเดียวกันและการแก้ปัญหาที่มีอยู่ใน Debian
ลองดูที่ cron-apt จะดาวน์โหลดเฉพาะรายการและไฟล์แพ็คเกจตามค่าเริ่มต้น แต่คุณสามารถปรับแต่งเพื่อส่งอีเมลหรือแม้แต่อัพเกรดระบบ
ขึ้นอยู่กับโครงสร้างพื้นฐานของคุณ หากฉันมีเครื่องเดียวโดยทั่วไปแล้วฉันจะตรวจสอบการอัปเดตและดูสิ่งที่ฉันต้องการหรือสิ่งที่ฉันสามารถหลีกเลี่ยงได้ หากฉันใช้คลัสเตอร์ฉันจะทำให้การเปลี่ยนแปลงในเครื่องหนึ่งเป็นบางครั้งและดูว่ามันทำงานอย่างไรและจากนั้นก็นำไปใช้กับเครื่องอื่นหากทุกอย่างดูโอเค
การอัพเกรดฐานข้อมูลฉันคอยจับตาดูอยู่เสมอ
หากคุณมีระบบไฟล์ที่รองรับการถ่ายภาพสแนปช็อตอาจเป็นประโยชน์อย่างมากในการถ่ายภาพระบบใช้การอัปเดตแล้วมีตัวเลือกในการย้อนกลับการเปลี่ยนแปลงหากมีสิ่งผิดปกติอย่างร้ายแรง
ลองค้นหาสาเหตุที่มีการอัปเกรดแพ็คเกจหรือไม่ มันแก้ไขข้อผิดพลาด? แก้ไขความปลอดภัยหรือไม่ มันเป็นคำสั่งท้องถิ่นหรือบริการเครือข่ายระยะไกล? ซอฟต์แวร์ได้รับการทดสอบด้วยการอัพเดทใหม่หรือไม่?
ควรทำการอัพเดตเคอร์เนลด้วยความระมัดระวังมากขึ้น ลองและดูว่าทำไมเคอร์เนลจึงถูกอัพเกรด? คุณต้องการการเปลี่ยนแปลงเหล่านั้นจริงๆเหรอ? จะมีผลกับแอปพลิเคชันของคุณหรือไม่ ฉันจำเป็นต้องใช้สิ่งนี้เพื่อความปลอดภัยหรือไม่?
การอัปเดตซอฟต์แวร์ 9 ครั้งจาก 10 ครั้งจะราบรื่น แต่ก็เป็นช่วงเวลาที่หายากที่ปล่อยให้เครื่องของคุณเป็นกองขยะมีการย้อนกลับหรือวางแผนการกู้คืนระบบ
apt-get upgrade -yมากกว่าupdate? มี-yธงupdateไหม?