Les mises à niveau sans assistance / mises à jour automatiques pour Ubuntu sont-elles sûres?

14

Je suis en train d'essayer de garder plusieurs boîtes Ubuntu à jour et corrigées (10.4.2 LTS), une suggestion que j'ai reçue consiste à configurer des mises à niveau sans assistance ( https://help.ubuntu.com/community/ AutomaticSecurityUpdates ).

Dans le passé, je me suis opposé à la mise en place de mises à jour automatiques, principalement en raison de la paranoïa selon laquelle cela casserait quelque chose pendant le processus de mise à jour. Cependant, maintenant je commence à me demander à quel point cela est valide (et à quel point il est comparé à des serveurs potentiellement non corrigés). Est-ce une idée sensée?

Nous sommes également en train de mettre en place Puppet, mais la création de modules / migration de serveurs vers puppet semble loin.

ubuntu security update patch Pratik Amin
la source

Réponses:

6

J'ai eu des mises à jour de paquets Ubuntu qui ont fait des ravages dans un passé récent, donc ma recommandation serait de déployer manuellement les paquets à ce stade (après quelques tests ou au moins un instantané de machine virtuelle) avec quelque chose comme apticron pour vous envoyer un e-mail à propos de correctifs en attente.

Cela dit, un outil central de gestion des mises à jour serait bien mieux. Malheureusement, il ne semble pas y avoir eu beaucoup de progrès .

Shane Madden
la source
1
Lorsque vous avez eu des problèmes, pouvez-vous confirmer qu'ils étaient sur un serveur Ubuntu et non sur un bureau? De plus, avez-vous rencontré un problème avec une mise à jour de sécurité ou une mise à jour standard?
Mark Stosberg
1
@MarkStosberg Je ne me souviens pas exactement du problème de mise à jour du package que j'ai rencontré l'année dernière à la même époque. Je tiens à dire que c'est une mise à jour du likewise-openpackage qui a rompu l'authentification; Je ne sais pas si c'était une mise à jour de sécurité ou non. Mais oui, définitivement sur les serveurs, pas sur les ordinateurs de bureau.
Shane Madden
8

Je pense que cela dépend de votre situation - vous devez peser les risques.

Combien de dégâts pourraient être causés par une mise à jour qui tourne mal? S'agit-il d'un serveur de production qui traite les commandes en temps réel? Une heure d'arrêt vous coûterait-elle beaucoup d'argent?

Si vous n'exécutez pas de mises à jour automatiques, vous êtes plus exposé aux pirates et aux exploits zero-day. Combien de dégâts un pirate pourrait-il faire? Votre serveur héberge-t-il beaucoup d'informations très sensibles qui, en cas de vol, pourraient vous coûter beaucoup plus que quelques heures de temps d'arrêt?

Personnellement, je me trompe du côté de la sécurité et exécute des mises à niveau sans assistance. Mais pour minimiser le potentiel d'une mise à jour, je ne fais que des mises à jour de sécurité, et je fais les mises à jour restantes manuellement.

Je pense que si une mise à jour va échouer, il est peu probable que je le remarque jusqu'à ce que la machine ait été redémarrée, auquel cas si la mise à jour a été installée manuellement ou automatiquement ne fait aucune différence.

aidan
la source