Dois-je devoir activer la mise à jour automatique sur Debian Lenny stable?

25

J'ai installé un nouveau serveur Linux Debian Lenny qui sera un LAMP et un serveur Subversion . Dois-je devoir activer les mises à jour automatiques?

Si je l'active, je suis sûr que j'ai les derniers correctifs de sécurité. Cela ne devrait pas non plus casser mon système car Debian stable ne fournit que des correctifs de sécurité. Si je les installe manuellement, je risque d'être à haut risque de sécurité pendant plusieurs jours et semaines.

Veuillez garder à l'esprit que je ne suis pas un administrateur système à plein temps, donc je n'ai pas le temps de consulter les bulletins de sécurité.

Que faites-vous habituellement avec vos serveurs? Quel est ton consseille?

Peter Mortensen
la source

Réponses:

28

(Des avertissements concernant les mises à niveau automatiques ont déjà été exprimés par des affiches précédentes.)

Compte tenu des antécédents de l'équipe de sécurité Debian au cours des dernières années, je considère les risques de mises à niveau interrompues beaucoup moins que l'avantage d'avoir des mises à jour automatiques sur des systèmes rarement visités.

Debian Lenny est livré avec des mises à niveau sans assistance , qui proviennent d'Ubuntu et sont considérées comme la solution de facto pour les mises à niveau sans assistance pour Debian à partir de Lenny / 5.0.

Pour le faire fonctionner sur un système Debian, vous devez installer le unattended-upgradespaquet.

Ajoutez ensuite ces lignes à /etc/apt/apt.conf:

APT :: Periodic :: Update-Package-Lists "1";
APT :: Periodic :: Unattended-Upgrade "1";

(Remarque: dans Debian Squeeze / 6.0, il n'y en a pas /etc/apt/apt.conf. La méthode préférée est d'utiliser la commande suivante, qui créera les lignes ci-dessus dans /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure -plow mises à niveau sans assistance

Un travail cron est ensuite exécuté tous les soirs et vérifie s'il existe des mises à jour de sécurité qui doivent être installées.

Les actions par mises à niveau sans assistance peuvent être surveillées dans /var/log/unattended-upgrades/. Attention, pour que les correctifs de sécurité du noyau deviennent actifs, vous devez redémarrer le serveur manuellement. Cela peut également être fait automatiquement au cours d'une fenêtre de maintenance planifiée (par exemple mensuelle).

Michael Renner
la source
Juste une question: les mises à niveau sans assistance effectueront-elles des mises à niveau ou uniquement des mises à niveau liées à la sécurité?
lindelof
unattended-upgradesa un paramètre pour spécifier uniquement l'installation des mises à jour de sécurité.
Martijn Heemels du
1
unattended-upgrade(sans le s) n'installe que les mises à jour de sécurité. Avec --debug --dry-runvous pouvez obtenir la liste des packages dans le journal sans les installer.
ignis
6

Apt est maintenant livré avec son propre travail cron /etc/cron.daily/apt et documentaion se trouve dans le fichier lui-même:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.
tomdeb
la source
Ne documente pas Allowed-Origins.
Daniel C.Sobral
5

Installez simplement apticron et modifiez le paramètre EMAIL = dans /etc/apticron/apticron.conf

Apticron vérifiera les dernières mises à jour et les téléchargera. Il ne les installera PAS. Il vous enverra un mail avec les mises à jour en attente.

Dax
la source
5

Mon conseil: oui, obtenez automatiquement les mises à jour de sécurité. J'avais un serveur Debian dédié il y a environ 4 ans, sans mises à jour automatisées. Je suis parti en vacances vers Noël quand un ver a été publié qui exploitait une vulnérabilité connue dans la distribution (je ne me souviens pas laquelle). À mon retour de vacances, mon serveur a été piraté.

Pour moi, le risque de casser l'application est très faible, beaucoup plus faible que d'être piraté en exécutant des versions avec des vulnérabilités bien connues.

Julien
la source
0

Je n'utilise jamais de mises à jour automatiques. J'aime que les mises à niveau soient effectuées lorsque je suis là, j'ai le temps de nettoyer les choses en cas de problème. Si vous ne souhaitez pas traiter des bulletins de sécurité, décidez de la durée qui vous convient entre la vérification des mises à jour et décidez simplement de faire des mises à jour chaque semaine. C'est aussi simple que: "mise à jour d'aptitude; aptitude dist-upgrade (ou aptitude safe-upgrade)" "

Je préfère y consacrer un peu de temps à ce que mon serveur de messagerie disparaisse soudainement et ne revienne pas automatiquement.

kbyrd
la source
0

Je vous recommande de configurer apt pour vérifier les mises à jour quotidiennement, mais pour vous informer uniquement qu'elles sont disponibles et ne pas les exécuter tant que vous n'êtes pas là. Il y a toujours une chance qu'une mise à niveau apt-get casse quelque chose ou nécessite une entrée utilisateur.

apticron est un bon paquet pour le faire pour vous, ou vous pouvez simplement faire un travail cron qui exécute quelque chose comme:

apt-get update -qq; apt-get upgrade -duyq

Je recommanderais de mettre à niveau chaque fois que vous voyez quelque chose de haute priorité ou supérieur - mais je n'aime pas non plus attendre qu'il y ait 30 ou 40 mises à niveau à effectuer - car alors, si quelque chose tombe en panne, il est plus difficile de préciser exactement quel paquet a cassé votre système.

En outre, en fonction des packages que vous exécutez sur votre serveur LAMP, vous souhaiterez peut-être ajouter les référentiels debian volitile et / ou dotdeb à votre liste de référentiels, car ils conservent beaucoup plus d'informations sur les correctifs et les mises à jour des signatures de virus que les référentiels standard de Debian. .

Brent
la source
0

Nous utilisons cron-apt pour automatiser les téléchargements, et sur la base des conseils que j'ai vus ici sur SF, nous incluons maintenant une liste de sources avec seulement des référentiels de sécurité dans le fichier de configuration cron-apt, donc seuls les correctifs de sécurité sont automatiquement installés sans autre action.

nedm
la source