我正在试图保持几个Ubuntu的盒子是最新的(10.4.2 LTS),我得到的一个build议是设置无人值守的升级( https://help.ubuntu.com/community/ AutomaticSecurityUpdates )。
在过去,我一直反对设置自动更新,主要是因为在更新过程中它会打破某些偏执狂。 但是现在我开始质疑这是多么的有效(以及与潜在的未修补服务器相比,它有多大的风险)。 这是一个理智的想法?
我们也正在build立Puppet,但是创build模块/将服务器迁移到木偶似乎还有很长的路要走。
我的Ubuntu软件包更新最近破坏了严重的破坏,所以我的build议是在这个时候手动部署软件包(经过一些testing或至less一个虚拟机快照),像apticron一样向您发送一封电子邮件待补丁。
也就是说,一个中央更新pipe理工具将会好得多。 不幸的是,似乎没有太多的进展 。
我认为这取决于你的情况 – 你必须权衡风险。
更新出错会造成多大的损害? 这是一个生产服务器实时处理订单吗? 一小时的停机会花费你很多钱吗?
如果你不运行自动更新,你更容易受到黑客和零日攻击。 黑客可以造成多less破坏? 您的服务器是否托pipe了很多非常敏感的信息,如果被盗,可能会花费您几个小时的停机时间?
就我个人而言,我在安全方面犯错误,无人值守升级。 但为了最大限度地减less更新的可能性,我只做安全更新,手动完成剩余的更新。
我认为如果更新会搞砸,那么在机器重新启动之前我不会注意到,在这种情况下,更新是手动安装还是自动安装都没有区别。