我似乎无法在任何地方找到对此问题的一致答案,所以我想我会自己问。
我有五台运行 12.04 或 14.04 的 Ubuntu 服务器,我应该使用 启用这些服务器的自动安全更新unattended-upgrades吗?还是我应该每月运行手动更新?
我的意思是,启用这些功能是否安全/是否会导致任何操作系统/安全问题?好处是否大于坏处?
答案1
这取决于你的机器最终要做什么。它是否运行永远不能崩溃的关键任务应用程序?那么,它可能不是自动更新的最佳选择。它是否位于网络的出口点?可能是一个不错的选择。
归根结底,就是要权衡安全性和稳定性,并找到可以接受的妥协方案。您很可能不会成为零日攻击的目标,但也许您拥有绝对不能泄露的非常敏感的数据,这是您必须做出的决定。
我的建议是,以这样的方式设计您的网络,即大多数安全过滤都在您的网络边缘完成(阻止外部应用程序、智能防火墙、可能的 DMZ 等),然后以最适合您的组织的方式处理其余部分 - 无论这意味着每晚重新启动并更新还是每周或自动 :)
答案2
是的。您应该启用这些自动更新。错过或延迟更新更有可能损害您的系统,而不是这些更新对您正在运行的系统造成负面影响。
答案3
我认为启用无人值守升级是一个好主意。
多年来,我在 Debian 稳定版和 ubuntu lts 版本上都使用过无人值守升级,从未发现过任何问题。只要您只启用安全更新,也许还有常规更新。如果需要用户输入,无人值守升级将不会更新某些内容
一般来说,如果您坚持使用 debian 或 ubuntu 或 redhat/centos 的稳定版本,您可以确保它们的更新是稳定的并且不会搞乱任何东西。
如果您依赖于 apache 之类的东西,您可以有选择地告诉包管理器不要更新它并手动执行更新。
此外,我宁愿冒着损坏某些东西的风险,也不愿因为错过安全补丁而导致服务器被黑客入侵。
答案4
理想情况下,除了生产服务器之外,您还有其他非生产系统,用于测试您自己的应用程序和操作系统(的更新)。
仅当您在测试环境中验证了更新的软件组件不会破坏您现有的配置后,才应将其应用到生产环境中。
这将反对自动更新。
通常,您确实需要一定程度的自动化,这样一旦您安排了更新,您就不必登录到每个单独的系统来手动修补它们:)