web-dev-qa-db-ja.com

Debian lenny安定版で自動更新を有効にする必要がありますか?

新しいLinux Debian lenny サーバーをインストールしました [〜#〜] lamp [〜#〜] および Subversion サーバーになります。自動更新を有効にする必要がありますか?

有効にすると、最新のセキュリティパッチを確実に適用できます。 Debianの安定版はセキュリティパッチのみを提供しているため、システムが壊れることもありません。それらを手動でインストールすると、複数の日と週の間、セキュリティ上のリスクが高くなる可能性があります。

私は常勤のシステム管理者ではないので、セキュリティ情報を確認する時間はありません。

サーバーで通常何をしていますか?あなたのアドバイスは何ですか?

25
user37220

(自動アップグレードに関する警告は、以前のポスターですでに表明されています。)

過去数年間のDebianセキュリティチームの実績を考えると、アップグレードが壊れるリスクは、めったに訪問されないシステムで自動更新を行うことの利点よりもはるかに小さいと考えています。

Debian Lennyには nattended-upgrades が付属しています。これはUbuntuに由来し、Lenny/5.0以降のDebianの無人アップグレードの事実上の解決策と見なされています。

Debianシステムで起動して実行するには、unattended-upgradesパッケージをインストールする必要があります。

次に、これらの行を/etc/apt/apt.confに追加します。

 APT :: Periodic :: Update-Package-Lists "1"; 
 APT :: Periodic :: Unattended-Upgrade "1"; 

(注:Debian Squeeze/6.0では/etc/apt/apt.confはありません。推奨される方法は、次のコマンドを使用することです。これにより、上記の行が/etc/apt/apt.conf.d/20auto-upgradesに作成されます。)

 sudo dpkg-reconfigure -plow unattended-upgrades 

次に、cronジョブが毎晩実行され、インストールする必要があるセキュリティアップデートがあるかどうかを確認します。

無人アップグレードによるアクションは、/var/log/unattended-upgrades/で監視できます。カーネルのセキュリティ修正を有効にするには、サーバーを手動で再起動する必要があることに注意してください。これは、計画された(たとえば、毎月)メンテナンス期間中に自動的に行うこともできます。

28
Michael Renner

Aptには独自のcronジョブ/etc/cron.daily/aptが付属しており、ドキュメントはファイル自体にあります。

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.
6
tomdeb

Apticronをインストールし、/ etc/apticron/apticron.confのEMAIL =設定を変更するだけです

Apticronは最新の更新を確認してダウンロードします。それらはインストールされません。保留中の更新をメールで送信します。

5
Dax

私のアドバイス:はい、セキュリティ更新を自動的に取得します。 4年ほど前に、自動アップデートなしで専用のDebianサーバーを使用していました。ディストリビューションの既知の脆弱性を悪用するワームがリリースされたとき、クリスマス前後の休暇に行きました(どちらか覚えていません)。私が休暇から戻ったとき、私のサーバーはハッキングされていました。

私にとって、アプリケーションを破壊するリスクは非常に低く、既知の脆弱性を持つバージョンを実行してハッキングされるよりもはるかに低いです。

5
Julien

自動更新は使用しません。私は、問題が発生した場合にクリーンアップする時間があるときにアップグレードを実行するのが好きです。セキュリティ情報に対処したくない場合は、更新を確認するまでの時間を決め、毎週更新することを決定します。 「aptitude update; aptitude dist-upgrade(or aptitude safe-upgrade)」のように簡単です。

私は、メールサーバーを突然停止させて自動的に復旧しないようにするよりも、少し時間を割くことを好みます。

0
kbyrd

アップデートを毎日チェックするようにaptを設定することをお勧めしますが、アップデートが利用可能であることを通知するだけで、周りにいるまで実行しないでください。 apt-get upgradeが何かを壊したり、ユーザー入力を要求したりする可能性は常にあります。

apticronはこれを行うのに適したパッケージですが、次のようなものを実行するcronジョブを作成することもできます。

apt-get update -qq; apt-get upgrade -duyq

私は何かを見たときにアップグレードすることをお勧めします高優先度以上-しかし、実行するアップグレードが30または40になるまで待たないでください。何かが壊れると、絞り込むのが難しくなるためです。正確にどのパッケージがシステムを破壊したか。

また、LAMPサーバーで実行しているパッケージによっては、debian volitileまたはdotdebリポジトリをリポジトリリストに追加することをお勧めします。 debianの標準的なリポジトリよりも、パッチとウイルスパターンの更新に加えて、より多くのことを行います。

0
Brent

私たちはcron-aptを使用してダウンロードを自動化し、私が見たアドバイスに基づいて here SF cron-apt構成ファイルにセキュリティリポジトリのみのソースリストを含めたため、セキュリティ修正のみが自動的にインストールされますそれ以上のアクションはありません。

0
nedm