25 votos

¿tengo que activar la actualización automática en estable de Debian lenny?

He instalado un nuevo Linux Debian lenny servidor que va a ser una LÁMPARA y una Subversióndel servidor. Debo tener para habilitar las actualizaciones automáticas?

Si me permiten, estoy seguro de que tengo los parches de seguridad más recientes. Asimismo, no debe romper mi sistema ya que Debian estable proporciona sólo parches de seguridad. Si yo los instale manualmente, puede estar en alto riesgo de seguridad durante varios días y semana.

Por favor, tenga en cuenta que yo no soy un completo administrador de sistemas a tiempo, así que no tengo el tiempo para mirar los boletines de seguridad.

¿Qué estás haciendo normalmente con sus servidores? ¿Cuál es su consejo?

28voto

macbirdie Puntos 9417

(Advertencias con respecto a las actualizaciones automáticas ya han sido expresadas por los anteriores carteles.)

Dada la trayectoria del equipo de Seguridad de Debian en los últimos años, considero que los riesgos de fractura de actualizaciones mucho menor que el beneficio de tener las actualizaciones automáticas en rara vez visitado sistemas.

Debian Lenny viene con unattended-upgrades, que se originó a partir de Ubuntu y es considerado el "de facto" la solución para las actualizaciones desatendidas para Debian a partir de Lenny/5.0.

Para ponerla en funcionamiento en un sistema Debian necesita instalar el unattended-upgrades paquete.

A continuación, añadir estas líneas a /etc/apt/apt.conf:

APT::Periódico::Update-Package-Lists "1";
APT::Periódico::Desatendida-Upgrade "1";

(Nota: En Debian Squeeze/6.0 no hay /etc/apt/apt.conf. El método preferido es usar el siguiente comando, el cual creará las líneas en /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure-arado unattended-upgrades

Un cron job es, a continuación, ejecutar todas las noches y comprueba si hay actualizaciones de seguridad que deben ser instalados.

Acciones por unattended-upgrades puede ser monitoreado en /var/log/unattended-upgrades/. Tenga cuidado, que para el núcleo revisiones de seguridad se active, es necesario reiniciar el servidor manualmente. Esto también se puede hacer de forma automática en el curso de una planificada (por ejemplo, mensual) ventana de mantenimiento.

5voto

Ruvan Fernando Puntos 150

Sólo instalar apticron y cambiar el EMAIL = ajuste en /etc/apticron/apticron.conf

Apticron revisará para las últimas actualizaciones y descargarlas. No les instalará. Se te enviará un correo con las actualizaciones que está pendiente.

5voto

Julien Puntos 627

Mi consejo: Sí, las actualizaciones de seguridad automáticamente. Tuve un servidor Debian dedicado hace 4 años, sin las actualizaciones automatizadas. Me fui de vacaciones en Navidad cuando fue liberado un gusano que explota una vulnerabilidad conocida en la distribución (no recuerdo cuál). Cuando regresé de vacaciones, fue hackeado mi servidor.

Para mí, el riesgo de romper la aplicación es muy baja, mucho menor de ser hackeado ejecutando versiones con vulnerabilidades conocidas.

1voto

tomdeb Puntos 561

Apt ahora viene con su propio /etc/cron.daily/apt trabajo cron y documentación se encuentra en el mismo archivo:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

0voto

kbyrd Puntos 2441

Yo nunca utilizar las actualizaciones automáticas. Me gusta actualizaciones a hacer cuando estoy cerca de tener tiempo para limpiar las cosas si las cosas van mal. Si usted no quiere tratar con los boletines de seguridad de decidir cuánto tiempo usted se siente cómodo entre la comprobación de actualizaciones y acaba de decidir que hacer actualizaciones cada semana. Es tan simple como: "aptitude update; aptitude dist-upgrade (o aptitude safe-upgrade)"

Prefiero dedicar un poco de tiempo para esto, para que mi servidor de correo desaparecen de repente y no ser una copia de seguridad automáticamente.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: