Debian lenny istikrarlı otomatik güncelleme etkinleştirmek zorunda mıyım?


25

LAMP ve Subversion sunucusu olacak yeni bir Linux Debian lenny sunucusu kurdum . Otomatik güncellemeleri etkinleştirmem gerekir mi?

Bunu etkinleştirirsem, en son güvenlik düzeltme eklerine sahip olduğumdan eminim. Ayrıca Debian kararlı yalnızca güvenlik düzeltme ekleri sağladığı için sistemimi bozmamalı. Bunları manuel olarak kurarsam, birkaç gün ve hafta boyunca yüksek güvenlik riski altında olabilirim.

Lütfen tam zamanlı bir sistem yöneticisi olmadığımı ve güvenlik bültenlerine bakmaya vaktim olmadığına dikkat edin.

Genelde sunucularınızla ne yapıyorsunuz? Senin tavsiyen nedir?

Yanıtlar:


28

(Otomatik güncelleme ile ilgili uyarılar daha önceki posterler tarafından zaten dile getirilmiştir.)

Debian Güvenlik ekibinin son birkaç yıldaki geçmişine bakıldığında, nadiren ziyaret edilen sistemlerde otomatik güncellemeler yapmanın yararlarından çok daha az kırılma riskini göz önünde bulunduruyorum.

Debian Lenny , Ubuntu'dan kaynaklanan ve Lenny / 5.0'dan başlayarak Debian için katılımsız yükseltmelerin defacto çözümü olarak kabul edilen katılımsız yükseltmelerle birlikte gelir .

Kurmak ve bir Debian sisteminde çalıştırmak için unattended-upgradespaketi kurmanız gerekir .

Ardından bu satırları şuraya ekleyin /etc/apt/apt.conf:

APT :: Periodic :: Güncelleme-Paket-Listeleri "1";
APT :: Periodic :: Katılımsız Yükseltme "1";

(Not: Debian Squeeze / 6.0'da hayır yoktur /etc/apt/apt.conf. Tercih edilen yöntem, yukarıdaki komutu oluşturacak olan aşağıdaki komutu kullanmaktır /etc/apt/apt.conf.d/20auto-upgrades:)).

sudo dpkg -conconure-katılımsız yükseltme

Bir cron işi daha sonra her gece çalıştırılır ve yüklenmesi gereken güvenlik güncellemeleri olup olmadığını kontrol eder.

Katılımsız yükseltme eylemleri izlenebilir /var/log/unattended-upgrades/. Dikkatli olun, çekirdek güvenlik düzeltmelerinin etkin olması için sunucuyu manuel olarak yeniden başlatmanız gerekir. Bu, planlı (örneğin aylık) bir bakım penceresi sırasında otomatik olarak da yapılabilir.


Sadece bir soru: Katılımsız yükseltmeler herhangi bir yükseltme yapabilecek midir, yoksa sadece güvenlikle ilgili olanlar?
10

unattended-upgradesyalnızca güvenlik güncelleştirmeleri yüklemeyi belirten bir ayara sahiptir.
Martijn Heemels

1
unattended-upgrade(olmadan s) yalnızca güvenlik güncelleştirmeleri yükler. İle --debug --dry-runsize bunları yüklemeden günlüğüne paketlerin listesini alabilirsiniz.
ignis

6

Apt artık kendi cron job'uyla /etc/cron.daily/apt adresinde geliyor ve belgeselde dosyanın kendisinde bulunuyor:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

Belgelenmiyor Allowed-Origins.
Daniel C. Sobral

5

Apticron'u kurun ve EMAIL değerini değiştirin / /cc/apticron/apticron.conf

Apticron en son güncellemeleri kontrol eder ve indirir. Onları kurmayacak. Size bekleyen güncellemeleri içeren bir posta gönderecektir.


5

Tavsiyem: evet, güvenlik güncellemelerini otomatik al. Otomatik güncelleme olmadan yaklaşık 4 yıl önce özel bir Debian sunucum vardı. Noel'de tatile gittim, dağıtımda bilinen bir güvenlik açığından yararlanan bir solucan bırakıldığında (hangisini hatırlamıyorum). Tatilden döndüğümde sunucum saldırıya uğradı.

Benim için, uygulamayı sonlandırma riski çok düşük, bilinen güvenlik açıklarına sahip sürümleri çalıştırmanın saldırıya uğramasından çok daha düşük.


0

Asla otomatik güncellemeler kullanmam. Etrafım yanlış giderse bir şeyleri temizlemek için vaktim olduğunda yapılacak yükseltmeleri seviyorum. Güvenlik bültenleriyle uğraşmak istemiyorsanız, güncellemeleri kontrol etmek arasında ne kadar zaman geçireceğinize karar verin ve her hafta güncellemeleri yapmaya karar verin. Bu kadar basit: "yetenek güncellemesi; yetenek dağıtımını yükseltme (veya yetenek güvenliğini yükseltme)"

Posta sunucumun aniden kaybolmasını ve otomatik olarak geri gelmemesini sağlamak için biraz zaman ayırmayı tercih ediyorum.


0

Her gün güncellemeleri kontrol etmek için uygun bir şekilde yapılandırmanızı, ancak yalnızca uygun olduklarını bildirmenizi ve bunları dolana kadar gerçekleştirmemenizi öneririm. Her zaman apt-get yükseltme işleminin bir şeyi bozması veya bir kullanıcı girişi gerektirmesi ihtimali vardır .

apticron bunu sizin için yapmak için iyi bir pakettir, veya şöyle bir şeyi yapan bir cron işi yapabilirsiniz:

apt-get update -qq; apt-get upgrade -duyq

Yüksek öncelikli veya daha büyük bir şey gördüğünüzde yükseltmenizi öneririm - ama aynı zamanda 30 veya 40 yükseltme gerçekleştirene kadar beklemekten de hoşlanmam.

Ayrıca, LAMP sunucunuzda hangi paketlere sahip olduğunuza bağlı olarak debian voltil ve / veya dotdeb depolarını depo listenize eklemek isteyebilirsiniz , çünkü debian'ın standart depolarından çok daha fazla yamalar ve virüs modeli güncellemeleri üzerinde dururlar. .


0

İndirmeleri otomatikleştirmek için cron-apt kullanıyoruz ve burada SF'de gördüğüm tavsiyelere dayanarak şimdi cron-apt config dosyasındaki yalnızca güvenlik havuzlarını içeren bir kaynak listesi içerdik, bu nedenle yalnızca güvenlik düzeltmeleri başka bir işlem yapmadan otomatik olarak yüklenir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.