apt-get update -y在生产服务器上通过 cron运行是否安全?
答案1
它可能是安全的——或者更准确地说,风险水平可能在你可接受的范围内。可接受的风险水平取决于几个因素。
您是否有良好的备份系统可以让您在出现故障时快速恢复?
您是否将服务器注销转发到远程系统,以便如果服务器出现故障,您仍然知道发生了什么?
您是否愿意接受出现故障的可能性,并且如果出现故障,您可能必须对系统进行快速恢复/恢复?
您是否手动编译过任何东西,或者您系统上安装的所有内容是否都来自官方存储库?如果您在本地安装了某些东西,上游更改可能会破坏您本地维护/安装的软件。
这个系统的作用是什么?它是即使坏了也不会被忽视的东西(例如辅助 DNS 服务器)还是基础设施的核心部分(例如 LDAP 服务器或主文件服务器)。
您是否想设置此功能,因为负责服务器的人都没有时间维护安全补丁?未修补的漏洞带来的潜在风险可能高于错误更新带来的风险。
如果你确实想这样做,我建议你使用已经存在的用于此目的的工具之一,例如cron-apt。它们有一些比盲目的更安全的逻辑apt-get -y update。
答案2
是的,只要你谈论的是更新并不是升级。如果您输入以下行,Apt 甚至会为您完成此操作:
APT::Periodic::Update-Package-Lists "1";
在以下文件中/etc/apt/apt.conf.d/
答案3
它通常是安全的,但我不推荐它,原因很简单:
- 您失去了已知状态。
在生产环境中,您需要确切地了解其上有什么或应该有什么,并且能够轻松地重现该状态。
任何变更都应通过变更管理流程进行,公司应充分了解他们正在做的事情,以便他们以后可以分析出了什么问题等等。
夜间更新使得这种分析变得不可能或更难进行。
答案4
我们在大多数 Debian 系统上使用稳定版并安排 apt-get 升级在星期二晚上进行(与我们的 Microsoft“补丁星期二”更新一致)。效果很好。我们还将所有升级事件记录到 Nagios,因此我们可以看到任何服务器上上次执行升级的历史记录。