데비안 lenny 스 테이블에서 자동 업데이트를 활성화해야합니까?


25

LAMPSubversion 서버 가 될 새로운 Linux Debian lenny 서버를 설치했습니다 . 자동 업데이트를 활성화해야합니까?

사용하도록 설정하면 최신 보안 패치가 있는지 확인합니다. 데비안 스 테이블은 보안 패치 만 제공하기 때문에 시스템을 손상시키지 않아야합니다. 수동으로 설치하면 며칠 및 여러 주 동안 보안 위험이 높아질 수 있습니다.

전임 시스템 관리자가 아니므로 보안 게시판을 볼 시간이 없습니다.

일반적으로 서버로 무엇을하고 있습니까? 당신의 조언은 무엇입니까?

답변:


28

(자동 업그레이드에 관한 경고는 이미 이전 포스터에서 발표되었습니다.)

지난 몇 년 동안 데비안 보안 팀의 실적을 감안할 때, 업그레이드가 실패 할 위험은 거의 방문하지 않는 시스템에서 자동 업데이트의 이점보다 훨씬 적습니다.

데비안 레니는 무인 업그레이드 를 제공하는데, 우분투에서 시작되었으며 레니 /5.0부터 데비안 무인 업그레이드를위한 실질적인 솔루션으로 간주됩니다.

데비안 시스템에서 설치하고 실행하려면 unattended-upgrades패키지 를 설치해야 합니다.

그런 다음이 줄을 다음에 추가하십시오 /etc/apt/apt.conf.

APT :: 정기 :: 업데이트-패키지-목록 "1";
APT :: 정기 :: 무인 업그레이드 "1";

(참고 :에서 데비안은 스퀴즈 / 6.0은 더 없다 /etc/apt/apt.conf기본 방법은 위의 라인을 만들 것이다, 다음 명령을 사용하는 것입니다. /etc/apt/apt.conf.d/20auto-upgrades:)

sudo dpkg-reconfigure-무인 업그레이드 쟁기

그러면 크론 작업이 야간에 실행되고 설치해야하는 보안 업데이트가 있는지 확인합니다.

무인 업그레이드 작업은에서 모니터링 할 수 있습니다 /var/log/unattended-upgrades/. 커널 보안 픽스가 활성화 되려면 서버를 수동으로 재부팅해야합니다. 계획된 (예 : 월간) 유지 관리 기간 동안 자동으로 수행 할 수도 있습니다.


그냥 질문 : 무인 업그레이드는 어떤 종류의 업그레이드를 수행합니까, 아니면 보안 관련 업그레이드 만 수행합니까?
lindelof

unattended-upgrades보안 업데이트 설치 만 지정하는 설정이 있습니다.
Martijn Heemels

1
unattended-upgrade(없이 s) 보안 업데이트 만 설치합니다. 로 --debug --dry-run당신을 설치하지 않고 로그에 패키지 목록을 얻을 수 있습니다.
ignis

6

Apt는 이제 자체 cron 작업 /etc/cron.daily/apt와 함께 제공되며 문서 자체는 다음과 같습니다.

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

문서화하지 않습니다 Allowed-Origins.
Daniel C. Sobral

5

apticron을 설치하고 /etc/apticron/apticron.conf에서 EMAIL = 설정을 변경하십시오.

Apticron은 최신 업데이트를 확인하고 다운로드합니다. 설치되지 않습니다. 보류중인 업데이트가 포함 된 메일을 보내드립니다.


5

내 충고 : 예, 보안 업데이트를 자동으로 받으십시오. 약 4 년 전에 전용 데비안 서버가 있었고 자동 업데이트가 없었습니다. 나는 배포판에서 알려진 취약점을 악용 한 웜이 풀렸을 때 크리스마스를 맞아 휴가를 갔다. 휴가에서 돌아 왔을 때 서버가 해킹당했습니다.

저에게 응용 프로그램을 손상시킬 위험은 매우 낮으며, 잘 알려진 취약점이있는 버전을 실행하여 해킹하는 것보다 훨씬 낮습니다.


0

자동 업데이트를 사용하지 않습니다. 나는 주위에있을 때 업그레이드가 완료되는 것을 좋아합니다. 잘못되면 물건을 정리할 시간이 있습니다. 보안 게시판을 다루지 않으려면 업데이트 확인 사이의 시간을 결정하고 매주 업데이트를 결정하십시오. "태도 업데이트; 적성 dist- 업그레이드 (또는 적성 안전 업그레이드)"와 같이 간단합니다.

메일 서버가 갑자기 사라지고 자동으로 백업되지 않는 것보다 약간의 시간을 할애하는 것을 선호합니다.


0

매일 업데이트를 확인하도록 apt를 구성하는 것이 좋지만 사용 가능한 업데이트 만 알리고 주변에있을 때까지 업데이트를 수행하지 않는 것이 좋습니다. 항상 apt-get 업그레이드로 인해 문제가 발생하거나 사용자 입력이 필요할 수 있습니다.

apticron 은 당신을 위해 이것을하기위한 좋은 패키지이거나 다음과 같은 것을 실행하는 cron 작업을 만들 수 있습니다.

apt-get update -qq; apt-get upgrade -duyq

우선 순위가 높 거나 높은 것을 볼 때마다 업그레이드하는 것이 좋습니다. 또한 업그레이드 할 업그레이드 가 30 ~ 40 회가 될 때까지 기다리는 것도 좋지 않습니다.

또한 LAMP 서버에서 실행중인 패키지에 따라 데비안 표준 저장소보다 패치 및 바이러스 패턴 업데이트에 훨씬 더 많은 영향을 미치기 때문에 데비안 volitile 및 / 또는 dotdeb 저장소를 리포지토리 목록에 추가 할 수 있습니다. .


0

우리는 cron-apt를 사용하여 다운로드를 자동화 하고 SF에서 본 조언에 따라 이제 cron-apt 구성 파일에 보안 저장소 만있는 소스 목록을 포함하므로 추가 조치없이 보안 수정 사항 만 자동으로 설치됩니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.