Apakah aman untuk menjalankan pembaruan apt-get setiap malam?

16

Apakah aman dijalankan apt-get update -ymelalui cron pada server produksi?

Miko
sumber
2
Apakah Anda memikirkannya apt-get upgrade -yalih - alih update? Apakah ada -ybendera untuk update?
KajMagnus

Jawaban:

17

Mungkin aman — atau, lebih tepatnya, tingkat risiko mungkin berada dalam jangkauan kenyamanan Anda. Tingkat risiko yang dapat diterima akan tergantung pada beberapa faktor.

Apakah Anda memiliki sistem cadangan yang baik yang memungkinkan Anda dengan cepat kembali jika ada yang rusak?

Apakah Anda meneruskan server log off ke sistem jarak jauh sehingga jika kotak naik Anda masih akan tahu apa yang terjadi?

Apakah Anda bersedia menerima kemungkinan bahwa ada sesuatu yang rusak dan Anda mungkin harus melakukan pemulihan / pengembalian cepat pada sistem jika ada yang gagal?

Sudahkah Anda secara manual menyusun sesuatu sendiri, atau apakah benar-benar semua yang diinstal pada sistem Anda berasal dari repositori resmi? Jika Anda menginstal sesuatu secara lokal, ada kemungkinan bahwa perubahan hulu dapat merusak perangkat lunak yang dikelola / diinstal secara lokal.

Apa peran sistem ini? Apakah itu sesuatu yang hampir tidak akan terlewatkan jika mati (mis. Server DNS sekunder) atau apakah itu bagian inti dari infrastruktur Anda (mis. Server LDAP atau server file primer).

Apakah Anda ingin mengatur ini karena tidak ada yang bertanggung jawab untuk server memiliki waktu untuk memelihara patch keamanan? Risiko potensial dikompromikan oleh kerentanan yang tidak ditambal mungkin lebih tinggi daripada potensi untuk pembaruan yang buruk.

Jika Anda benar-benar berpikir ingin melakukan ini, saya sarankan Anda menggunakan salah satu alat yang sudah ada di luar sana untuk keperluan ini cron-apt. Mereka memiliki beberapa logika untuk lebih aman daripada hanya orang buta apt-get -y update.

Sakit kepala
sumber
1
Anda sedang memikirkan apt-get upgrade, bukan apt-get update, kan?
KajMagnus
Ya, benar. Dengan apt-get update, agak sulit untuk memecahkan apa pun.
Olli
1
Itu tidak aman.
marcinn
8

Ya, selama Anda berbicara tentang pembaruan dan bukan peningkatan . Apt bahkan akan melakukannya untuk Anda jika Anda meletakkan garis:

APT::Periodic::Update-Package-Lists "1";

dalam file di bawah /etc/apt/apt.conf.d/

PTman
sumber
5

Secara umum aman, tetapi saya tidak akan merekomendasikannya karena alasan sederhana:

  • Anda kehilangan status yang diketahui.

Dalam lingkungan produksi, Anda perlu tahu persis apa yang ada di dalamnya, atau apa yang seharusnya ada di atasnya, dan dapat mereproduksi keadaan itu dengan mudah.

Setiap perubahan harus dilakukan melalui proses Manajemen Perubahan, di mana perusahaan menyadari sepenuhnya apa yang mereka hadapi, sehingga mereka kemudian dapat menganalisis apa yang salah dan sebagainya.

Pembaruan malam hari membuat analisis semacam ini tidak mungkin dilakukan, atau lebih sulit dilakukan.

Marseille07
sumber
3

Saya mungkin melakukannya di stabil, atau di Ubuntu, tetapi tidak pada cabang yang tidak stabil, atau bahkan cabang pengujian.

Padahal, ketika saya memakai topi sysadmin saya, saya percaya bahwa saya harus secara manual menerapkan semua pembaruan, sehingga saya dapat menjaga konsistensi antara server - dan juga sehingga, jika suatu hari layanan rusak, saya tahu kapan terakhir kali saya memperbarui bahwa layanan. Itu sesuatu yang saya mungkin tidak memeriksa apakah pembaruan sedang berjalan secara otomatis.

Jon Lasser
sumber
2

Kami menggunakan pemutakhiran apt-get yang stabil dan terjadwal untuk Selasa malam di sebagian besar sistem Debian kami (bertepatan dengan pembaruan "patch tuesday" Microsoft kami). Itu bekerja dengan baik. Kami juga memiliki semua peristiwa pemutakhiran yang dicatat ke Nagios, sehingga kami dapat melihat riwayat kapan pemutakhiran dilakukan terakhir kali di server mana pun.

Matt Beckman
sumber
1

Ketika Anda menentukan ini adalah server "produksi", apakah itu berarti ada server pengembangan dan pengujian juga? Jika demikian, tambalan harus diuji pada sistem tersebut sebelum diinstal pada kotak produksi.

Saya tidak akan melakukannya. Patch yang buruk bisa terjadi dan saya tidak ingin sistem gagal di tengah malam atau ketika saya tidak tersedia. Mereka harus didorong di jendela pemeliharaan ketika administrator tersedia untuk memantau pembaruan.

Craig
sumber
1

Saya ingat melakukan itu di pekerjaan sebelumnya; Saya berakhir dengan masalah pada server produksi karena pembaruan menulis ulang file konfigurasi secara otomatis.

Karena itu, saya menyarankan Anda untuk mengawasi pembaruan.

pengguna39530
sumber
upgrade apt-get dapat merusak sesuatu karena layanan penghijauan otomatis. Jelas, itu TIDAK aman. Jawaban Anda seharusnya diterima.
marcinn
1

Jika alternatifnya menerapkan pembaruan yang tidak teratur, Anda tidak secara aktif mengikuti pembaruan keamanan, dan Anda menjalankan vanilla stable Lenny, maka pembaruan otomatis mungkin meningkatkan keamanan mesin Anda, karena Anda akan memperbarui lubang keamanan yang diketahui dengan lebih cepat.

Charles Stewart
sumber
0

Server Ubuntu memiliki paket yang akan memungkinkannya untuk memperbarui pembaruan keamanan secara otomatis. Ini memungkinkan Anda untuk membuat daftar hitam aplikasi tertentu juga. Itu juga berbicara tentang apticron yang akan mengirim email kepada Anda ketika ada pembaruan yang tersedia untuk server Anda.

Anda dapat mengetahuinya lebih lanjut di halaman-halaman berikut tergantung pada versi Ubuntu Server yang Anda jalankan.

EDIT: Anggap Anda menjalankan Ubuntu. Meskipun saya berani bertaruh paket dan solusi yang sama tersedia di Debian.

Pengaruh 3d
sumber
0

Lihatlah cron-apt. Ini hanya mengunduh daftar dan mengemas file secara default, tetapi Anda dapat menyetelnya untuk mengirim email, atau bahkan memutakhirkan sistem.

ko-dos
sumber
0

Ini tergantung pada infrastruktur Anda. Jika saya memiliki satu mesin, maka biasanya saya meninjau pembaruan, dan melihat apa yang saya butuhkan atau apa yang bisa saya hindari. Jika saya menggunakan cluster, kadang-kadang saya meluncurkan perubahan pada satu mesin, dan melihat bagaimana mereka pergi, dan kemudian meluncurkannya ke mesin lain jika semuanya tampak baik-baik saja.

Pembaruan basis data Saya selalu awasi.

Jika Anda memiliki sistem file yang mendukung snap shotting, dapat sangat berguna untuk memotret sistem, menerapkan pembaruan, dan kemudian memiliki opsi untuk mengembalikan perubahan jika terjadi kesalahan.

Coba cari tahu mengapa paket ditingkatkan? apakah itu perbaikan bug? perbaikan keamanan? apakah itu perintah lokal atau layanan jaringan jarak jauh ?. Apakah perangkat lunak telah diuji dengan pembaruan baru?

Pembaruan kernel harus didekati dengan lebih hati-hati. Coba dan cari tahu mengapa kernel sedang ditingkatkan? Apakah Anda benar-benar membutuhkan perubahan itu? apakah itu akan mempengaruhi aplikasi Anda. Apakah saya perlu menerapkan ini untuk keamanan?

9 kali dari 10 pembaruan perangkat lunak akan berjalan dengan lancar, tetapi saat-saat langka itu membuat Anda mesin sebagai tumpukan sampah, memiliki rollback atau rencana pemulihan sistem di tempat.

Unix Janitor
sumber