Yanıtlar:
Güvenli olabilir - veya daha doğrusu, risk düzeyi sizin rahatınız dahilinde olabilir. Kabul edilebilir risk seviyesi çeşitli faktörlere bağlı olacaktır.
Bir şey kırılırsa hızlı bir şekilde geri dönmenizi sağlayacak iyi bir yedekleme sisteminiz var mı?
Sunucu günlüklerini uzaktaki bir sisteme yönlendiriyor musunuz, böylece kutu göbek yükselirse ne olduğunu hala bileceksiniz?
Bir şeyin kırılması olasılığını kabul etmeye istekli misiniz ve bir şey başarısız olursa hızlı bir geri yükleme / geri alma yapmak zorunda kalabilirsiniz?
Elle kendi başınıza bir şey derlediniz mi veya sisteminizde kurulu olan her şey resmi depolardan mı geldi? Yerel olarak bir şey yüklediyseniz, yukarı akış değişikliğinin yerel bakım / kurulum yazılımınızı bozma olasılığı vardır.
Bu sistemin rolü nedir? Öldüğünde zar zor kaçırılan bir şey mi (örn. İkincil bir DNS sunucusu) veya altyapınızın temel parçası mı (örn. LDAP sunucusu veya birincil dosya sunucusu).
Sunucudan sorumlu hiç kimsenin güvenlik düzeltme eklerini korumak için zamanı olmadığı için bunu ayarlamak istiyor musunuz? Düzeltilmemiş bir güvenlik açığından etkilenme potansiyeli, kötü güncelleme olasılığından daha yüksek olabilir.
Bunu gerçekten yapmak istediğinizi düşünüyorsanız, bu amaç için zaten orada olan araçlardan birini kullanmanızı öneririz cron-apt. Sadece kör olmaktan daha güvenli olmak için bir mantıkları var apt-get -y update.
apt-get upgrade, değil apt-get updatemi?
apt-get update, herhangi bir şeyi kırmak oldukça zordur.
Genellikle güvenlidir, ancak basit bir nedenden dolayı tavsiye etmem:
Üretim ortamında, tam olarak ne olduğunu veya üzerinde ne olması gerektiğini bilmeniz ve bu durumu kolaylıkla yeniden üretebilmeniz gerekir.
Herhangi bir değişiklik, şirketin neyin içine girdiğinin tam olarak farkında olduğu Değişim Yönetimi süreci ile yapılmalıdır, böylece daha sonra neyin yanlış gittiğini analiz edebilirler.
Gece güncellemeleri bu tür analizleri imkansız veya zorlaştırır.
Bunu sabit veya Ubuntu'da yapabilirim, ancak dengesiz bir dalda, hatta test dalında yapamam.
Sysadmin şapkamı taktığımda, tüm güncellemeleri manuel olarak uygulamam gerektiğine inanıyorum, böylece sunucular arasındaki tutarlılığı koruyabiliyorum - ve ayrıca, bir gün bir hizmet kırılırsa, en son ne zaman güncellediğimi biliyorum hizmet. Bu, güncellemelerin otomatik olarak devam edip etmediğini kontrol etmeyeceğim bir şey.
Debian sistemlerimizin çoğunda (Microsoft "yama salı" güncellemelerimize denk geliyor) Salı akşamı için kararlı ve uygun fiyatlı yükseltme planlıyoruz. İyi çalışıyor. Ayrıca tüm yükseltme etkinliklerine Nagios'a giriş yaptık, böylece yükseltmelerin en son ne zaman herhangi bir sunucuda gerçekleştirildiğinin geçmişini görebiliriz.
Bunun bir "üretim" sunucusu olduğunu belirttiğinizde geliştirme ve test sunucuları da var mı? Öyleyse, yamalar üretim kutusuna kurulmadan önce bu sistemlerde test edilmelidir.
Yapmazdım. Kötü yamalar olur ve gecenin ortasında veya başka türlü kullanılamıyorken bir sistemin arızalanmasını istemezdim. Güncellemeyi izlemek için bir yönetici mevcut olduğunda, bir bakım penceresine itilmelidirler.
Bunu bir önceki işte yaptığımı hatırlıyorum; Bir güncelleme bir yapılandırma dosyasını otomatik olarak yeniden yazdığı için üretim sunucusundaki sorunlarla karşılaştım.
Bu nedenle, güncellemeleri denetlemenizi tavsiye ederim.
Alternatif, güncellemeleri düzensiz bir şekilde uyguluyorsa, güvenlik güncellemelerini aktif olarak takip etmezsiniz ve vanilya kararlı bir Lenny çalıştırıyorsanız, otomatik güncelleme muhtemelen bilinen güvenlik deliklerini daha hızlı güncelleyeceğiniz için makinenizin güvenliğini artırır.
Ubuntu Server'ın güvenlik güncellemelerini otomatik olarak güncellemesine izin veren bir paketi vardır. Belirli uygulamaları da kara listeye almanızı sağlar. Ayrıca sunucunuz için kullanılabilir güncellemeler olduğunda size e-posta gönderecek olan apticron hakkında konuşuyor.
Hangi Ubuntu Sunucusu sürümünü kullandığınıza bağlı olarak aşağıdaki sayfalarda daha fazla bilgi edinebilirsiniz.
EDIT: Ubuntu çalıştırdığınızı varsayarsak. Her ne kadar aynı paketleri ve çözümü Debian'da da oynayabilsem de.
Bu, altyapınıza bağlıdır. Tek bir makinem varsa, genellikle güncellemeleri gözden geçiririm ve neye ihtiyacım olduğunu veya neleri önleyebileceğimi görürüm. Bir küme kullanıyorsam, bazen bir makinede değişiklikleri açıyorum ve nasıl gittiğini görüyorum ve sonra her şey yolunda görünüyorsa diğer makinelere yuvarlıyorum.
Veritabanı yükseltmeleri Ben her zaman yakından takip ediyorum.
Anlık görüntüyü destekleyen bir dosya sisteminiz varsa, sistemin anlık görüntüsünü almak, güncellemeleri uygulamak ve daha sonra bir şey korkunç bir şekilde yanlış giderse değişiklikleri geri alma seçeneğine sahip olmak gerçekten yararlı olabilir.
Bir paketin neden yükseltildiğini bulmaya çalışın? hata düzeltme mi? güvenlik düzeltmesi? yerel bir komut veya uzak ağ hizmeti mi? Yazılım yeni güncellemelerle test edildi mi?
Çekirdek güncellemelerine daha dikkatli yaklaşılmalıdır. Çekirdeğin neden yükseltildiğini bulmaya çalışın? Bu değişikliklere gerçekten ihtiyacınız var mı? uygulamanızı etkiler mi? Bunu güvenlik için uygulamam gerekir mi?
10 yazılım güncellemesinden 9 kez sorunsuz bir şekilde gidecek, ancak makinenizi önemsiz bir yığın olarak bıraktığı, geri alma veya sistem kurtarma planına sahip olduğu nadir zamanlardır.
apt-get upgrade -yyerine düşünüyor musunupdate?-yBayrak var mıupdate?