我正在尝试使几个 ubuntu 盒子保持最新状态并打上补丁(10.4.2 LTS),我收到的一个建议是设置无人值守升级(https://help.ubuntu.com/community/AutomaticSecurityUpdates)。
过去我一直反对设置自动更新,主要是因为我担心它会在更新过程中破坏某些东西。但是现在我开始质疑这是否有效(与可能未打补丁的服务器相比,这有多大的风险)。这是一个明智的想法吗?
我们也正在设置 Puppet,但是创建模块/将服务器迁移到 Puppet 似乎还有很长的路要走。
答案1
最近,Ubuntu 软件包更新给我带来了很大的困扰,因此我建议此时手动部署软件包(在一些测试或至少是 VM 快照之后),使用 apticron 之类的程序向您发送有关待处理补丁的电子邮件。
尽管如此,一个集中更新管理工具会更好。不幸的是,似乎还没有取得很大进展。
答案2
我认为这取决于你的情况——你必须权衡风险。
更新出错会造成多大的损失?这是实时处理订单的生产服务器吗?一小时的停机时间会给你带来很多损失吗?
如果您不运行自动更新,您将更容易受到黑客和零日攻击。黑客能造成多大的损失?您的服务器是否托管了大量非常敏感的信息,如果这些信息被盗,您的损失可能远不止几个小时的停机时间?
就我个人而言,我宁可安全一点,也愿意运行无人值守的升级。但为了将更新出错的可能性降到最低,我只进行安全更新,其余更新则手动进行。
我认为,如果更新出现问题,我不太可能会注意到,直到机器重新启动后才会注意到,在这种情况下,无论是手动安装还是自动安装更新都没有区别。