ฉันได้ติดตั้งเซิร์ฟเวอร์เลนนี่ Linux Debianตัวใหม่ที่จะเป็นLAMPและเซิร์ฟเวอร์Subversion ฉันต้องเปิดใช้งานการอัปเดตอัตโนมัติหรือไม่
หากฉันเปิดใช้งานฉันมั่นใจว่าฉันมีแพตช์รักษาความปลอดภัยล่าสุด นอกจากนี้ยังไม่ควรทำลายระบบของฉันเนื่องจาก Debian เสถียรให้แพตช์ความปลอดภัยเท่านั้น หากฉันติดตั้งด้วยตนเองฉันอาจมีความเสี่ยงด้านความปลอดภัยสูงในช่วงหลายวัน & สัปดาห์
โปรดทราบว่าฉันไม่ใช่ผู้ดูแลระบบเต็มเวลาดังนั้นฉันไม่มีเวลาดูกระดานข่าวความปลอดภัย
โดยปกติคุณทำอะไรกับเซิร์ฟเวอร์ของคุณ คุณมีคำแนะนำอะไร?
คำตอบ:
(คำเตือนเกี่ยวกับการอัปเกรดอัตโนมัติได้รับการประกาศโดยผู้โพสต์ก่อนหน้านี้แล้ว)
จากประวัติการทำงานของทีม Debian Security ในช่วงไม่กี่ปีที่ผ่านมาฉันพิจารณาความเสี่ยงของการอัปเกรดที่ใช้งานไม่ได้ซึ่งน้อยกว่าประโยชน์ของการมีการอัปเดตอัตโนมัติในระบบที่เข้าเยี่ยมชมบ่อยครั้ง
Debian Lenny มาพร้อมกับการอัพเกรดแบบไม่ต้องใส่ข้อมูลซึ่งมีต้นกำเนิดมาจาก Ubuntu และได้รับการพิจารณาว่าเป็นโซลูชัน defacto สำหรับการอัปเกรดแบบไม่ต้องใส่ข้อมูลสำหรับ Debian โดยเริ่มต้นจาก Lenny / 5.0
ในการติดตั้งและใช้งานระบบ Debian คุณจะต้องติดตั้งunattended-upgradesแพ็คเกจ
จากนั้นเพิ่มบรรทัดเหล่านี้ใน/etc/apt/apt.conf:
APT :: เป็นระยะ :: การอัปเดตแพ็คเกจรายการ "1"; APT :: เป็นระยะ :: ไม่ต้องปรับปรุง - "1"
(หมายเหตุ: ใน Debian Squeeze / 6.0 ไม่มี/etc/apt/apt.confวิธีการที่ต้องการคือการใช้คำสั่งต่อไปนี้ซึ่งจะสร้างบรรทัดด้านบนใน/etc/apt/apt.conf.d/20auto-upgrades:)
sudo dpkg-reconfigure -plow การอัพเกรดแบบอัตโนมัติ
จากนั้นงาน cron จะรันทุกคืนและตรวจสอบว่ามีการอัพเดตความปลอดภัยที่จำเป็นต้องติดตั้งหรือไม่
/var/log/unattended-upgrades/กระทำการโดยไม่ต้องใส่อัพเกรด-สามารถตรวจสอบได้ใน ระวังเพื่อให้การแก้ไขความปลอดภัยของเคอร์เนลมีสถานะแอ็คทีฟคุณต้องรีบูตเซิร์ฟเวอร์ด้วยตนเอง สิ่งนี้สามารถทำได้โดยอัตโนมัติในช่วงเวลาการบำรุงรักษาตามแผน (เช่นรายเดือน)
unattended-upgradesมีการตั้งค่าเพื่อระบุเฉพาะการติดตั้งการปรับปรุงความปลอดภัย
unattended-upgrade(โดยไม่ต้องs) จะติดตั้งการปรับปรุงความปลอดภัยเท่านั้น ด้วย--debug --dry-runคุณสามารถรับรายการแพคเกจในบันทึกโดยไม่ต้องติดตั้ง
Apt ตอนนี้มาพร้อมกับงาน cron ของตัวเอง /etc/cron.daily/apt และ documentaion พบได้ในไฟล์เอง:
#set -e
#
# This file understands the following apt configuration variables:
#
# "APT::Periodic::Update-Package-Lists=1"
# - Do "apt-get update" automatically every n-days (0=disable)
#
# "APT::Periodic::Download-Upgradeable-Packages=0",
# - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
# "APT::Periodic::AutocleanInterval"
# - Do "apt-get autoclean" every n-days (0=disable)
#
# "APT::Periodic::Unattended-Upgrade"
# - Run the "unattended-upgrade" security upgrade script
# every n-days (0=disabled)
# Requires the package "unattended-upgrades" and will write
# a log in /var/log/unattended-upgrades
#
# "APT::Archives::MaxAge",
# - Set maximum allowed age of a cache package file. If a cache
# package file is older it is deleted (0=disable)
#
# "APT::Archives::MaxSize",
# - Set maximum size of the cache in MB (0=disable). If the cache
# is bigger, cached package files are deleted until the size
# requirement is met (the biggest packages will be deleted
# first).
#
# "APT::Archives::MinAge"
# - Set minimum age of a package file. If a file is younger it
# will not be deleted (0=disable). Usefull to prevent races
# and to keep backups of the packages for emergency.
Allowed-Originsไม่ได้เอกสาร
เพียงติดตั้ง apticron และเปลี่ยนการตั้งค่า EMAIL = ใน /etc/apticron/apticron.conf
Apticron จะตรวจสอบการอัปเดตล่าสุดและดาวน์โหลด มันจะไม่ติดตั้งพวกเขา มันจะส่งอีเมลพร้อมการอัปเดตที่ค้างอยู่
คำแนะนำของฉัน: ใช่รับการปรับปรุงความปลอดภัยโดยอัตโนมัติ ฉันมีเซิร์ฟเวอร์ Debian เฉพาะเมื่อประมาณ 4 ปีที่แล้วโดยไม่มีการอัปเดตอัตโนมัติ ฉันไปเที่ยวพักผ่อนช่วงคริสต์มาสเมื่อเวิร์มได้รับการปล่อยตัวซึ่งใช้ประโยชน์จากช่องโหว่ที่เป็นที่รู้จักในการเผยแพร่ (จำไม่ได้ว่าตัวใด) เมื่อฉันกลับจากวันหยุดพักผ่อนเซิร์ฟเวอร์ของฉันถูกแฮ็ก
สำหรับฉันความเสี่ยงในการทำลายแอปพลิเคชันนั้นต่ำมากต่ำกว่าการแฮ็กโดยการรันเวอร์ชันที่มีช่องโหว่ที่รู้จักกันดี
ฉันไม่เคยใช้การอัปเดตอัตโนมัติ ฉันชอบการอัพเกรดที่ต้องทำเมื่อฉันอยู่ใกล้ ๆ มีเวลาทำความสะอาดถ้ามันผิด หากคุณไม่ต้องการจัดการกับบูเลทีนการรักษาความปลอดภัยตัดสินใจระยะเวลาที่คุณสบายใจในการตรวจสอบการอัพเดตและเพียงตัดสินใจทำการอัปเดตทุกสัปดาห์ มันง่ายเหมือน: "aptitude update; aptitude dist-upgrade (หรือ aptitude safe-upgrade)"
ฉันชอบที่จะทุ่มเทเวลามากกว่านี้เพื่อให้เซิร์ฟเวอร์อีเมลของฉันหายไปในทันทีและไม่กลับมาโดยอัตโนมัติ
ฉันขอแนะนำให้คุณกำหนดค่า apt เพื่อตรวจสอบการอัปเดตทุกวัน แต่จะแจ้งให้คุณทราบว่ามีให้ใช้งานเท่านั้นและจะไม่ดำเนินการจนกว่าคุณจะอยู่ใกล้ มีโอกาสที่การอัปเกรด apt-getจะทำลายบางสิ่งบางอย่างหรือต้องการให้ผู้ใช้ป้อนข้อมูล
apticronเป็นแพ็คเกจที่ดีสำหรับการทำเช่นนี้กับคุณหรือคุณสามารถสร้างงาน cron ที่ดำเนินการบางอย่างเช่น:
apt-get update -qq; apt-get upgrade -duyq
ฉันขอแนะนำให้อัปเกรดทุกครั้งที่คุณเห็นสิ่งที่มีลำดับความสำคัญสูงกว่าหรือสูงกว่า - แต่ฉันไม่ต้องการที่จะรอจนกว่าจะมีการอัปเกรด 30 หรือ 40 ครั้ง - เพราะถ้าหากมีบางสิ่งบางอย่างแตกหัก
นอกจากนี้ขึ้นอยู่กับแพคเกจที่คุณใช้งานบนเซิร์ฟเวอร์ LAMP ของคุณคุณอาจต้องการเพิ่มที่เก็บ debit volitileและ / หรือdotdebในรายการที่เก็บของคุณเนื่องจากพวกเขาเก็บมากขึ้นด้านบนของแพทช์และปรับปรุงรูปแบบไวรัสกว่า repos มาตรฐานของ debian .
เราใช้ cron-apt เพื่อทำการดาวน์โหลดโดยอัตโนมัติและจากคำแนะนำที่ฉันเห็นใน SFตอนนี้เราได้รวมรายการแหล่งข้อมูลที่มีเพียงแหล่งเก็บข้อมูลความปลอดภัยในไฟล์ cron-apt config ดังนั้นการแก้ไขความปลอดภัยเท่านั้นจึงจะถูกติดตั้งโดยอัตโนมัติ