क्या मुझे डेबियन लेन पर स्वचालित अपडेट को स्थिर करना चाहिए?

मैंने एक नया लिनक्स डेबियन लेन सर्वर स्थापित किया है जो एक एलएएमपी और एक सबवर्सन सर्वर होगा। क्या मुझे स्वचालित अपडेट सक्षम करना चाहिए?

यदि मैं इसे सक्षम करता हूं, तो मुझे यकीन है कि मेरे पास नवीनतम सुरक्षा पैच हैं। यह भी मेरे सिस्टम को नहीं तोड़ना चाहिए क्योंकि डेबियन स्थिर केवल सुरक्षा पैच प्रदान करता है। यदि मैं उन्हें मैन्युअल रूप से स्थापित करता हूं, तो मैं कई दिनों और सप्ताह के दौरान उच्च सुरक्षा जोखिम पर हो सकता हूं।

कृपया ध्यान रखें कि मैं एक पूर्णकालिक सिस्टम प्रशासक नहीं हूं, इसलिए मेरे पास सुरक्षा बुलेटिनों को देखने का समय नहीं है।

आप आमतौर पर अपने सर्वर के साथ क्या कर रहे हैं? आपकी क्या सलाह है?

(स्वचालित उन्नयन के बारे में चेतावनियाँ पिछले पोस्टर द्वारा पहले ही आवाज दी जा चुकी हैं।)

पिछले कुछ वर्षों में डेबियन सिक्योरिटी टीम के ट्रैक रिकॉर्ड को देखते हुए, मैं शायद ही कभी दौरा किए गए सिस्टम पर स्वचालित अपडेट होने के लाभ से कम टूटे हुए उन्नयन के जोखिमों पर विचार करता हूं।

डेबियन लेनी अनअटेंडेड-अपग्रेड के साथ आती है , जो उबंटू से उत्पन्न हुई है और डेनीनी के लिए डेक्टेनो समाधान माना जाता है जो डेनीनी से लेनी / 5.0 से शुरू होता है।

इसे उठने के लिए और डेबियन सिस्टम पर चलाने के लिए आपको unattended-upgradesपैकेज स्थापित करना होगा ।

फिर इन पंक्तियों को इसमें जोड़ें /etc/apt/apt.conf:

APT :: आवधिक :: अपडेट-पैकेज-सूची "1";
APT :: आवधिक :: अप्राप्य-अपग्रेड "1";

(नोट: डेबियन स्क्वीज़ / 6.0 में कोई नहीं है /etc/apt/apt.conf। पसंदीदा विधि निम्नलिखित कमांड का उपयोग करना है, जो उपरोक्त पंक्तियों को /etc/apt/apt.conf.d/20auto-upgrades:) में बनाएगी।

sudo dpkg-reconfigure -plow अनअटेंडेड-अपग्रेड

एक क्रॉन जॉब तब रात को चलती है और जांचती है कि क्या सुरक्षा अपडेट हैं जिन्हें स्थापित करने की आवश्यकता है।

अप्राप्य-अपग्रेड द्वारा क्रियाओं की निगरानी की जा सकती है /var/log/unattended-upgrades/। सावधान रहें, कि कर्नेल सुरक्षा फ़िक्सेस के सक्रिय होने के लिए, आपको सर्वर को मैन्युअल रूप से रिबूट करना होगा। यह नियोजित (जैसे मासिक) रखरखाव खिड़की के दौरान स्वचालित रूप से भी किया जा सकता है।

Apt अब अपनी क्रॉन जॉब /etc/cron.daily/apt के साथ आता है और डॉक्यूमेंटेशन फाइल में ही मिलता है:

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

बस एन्टीट्रॉन को स्थापित करें और /etc/apticron/apticron.conf में EMAIL = सेटिंग बदलें

Apticron नवीनतम अपडेट की जांच करेगा और उन्हें डाउनलोड करेगा। यह उन्हें स्थापित नहीं करेगा। यह आपको अपडेट के साथ एक मेल भेजेगा जो लंबित है।

मेरी सलाह: हां, सुरक्षा अपडेट स्वचालित रूप से प्राप्त करें। मेरे पास स्वचालित अपडेट के बिना लगभग 4 साल पहले एक समर्पित डेबियन सर्वर था। मैं क्रिसमस के आसपास छुट्टी पर चला गया जब एक कीड़ा जारी किया गया था जिसने वितरण में एक ज्ञात भेद्यता का शोषण किया (जो एक को याद नहीं है)। जब मैं छुट्टी से लौटा, तो मेरा सर्वर हैक कर लिया गया।

मेरे लिए, एप्लिकेशन को तोड़ने का जोखिम बहुत कम है, अच्छी तरह से ज्ञात कमजोरियों के साथ संस्करण चलाने से हैक होने की तुलना में बहुत कम है।

मैं कभी भी स्वचालित अपडेट का उपयोग नहीं करता। मैं अपग्रेड करना पसंद करता हूं जब मेरे पास चीजें साफ करने का समय होता है तो यह गलत हो जाता है। यदि आप सुरक्षा बुलेटिनों से निपटना नहीं चाहते हैं, तो तय करें कि आप अपडेट के लिए जाँच के बीच कितने समय के लिए सहज हैं और बस हर हफ्ते अपडेट करने का निर्णय लेते हैं। यह उतना ही सरल है: "एप्टीट्यूड अपडेट; एप्टीट्यूड डिस्ट-अपग्रेड (या एप्टीट्यूड सेफ-अपग्रेड)"

मैं अपने मेल सर्वर को अचानक चले जाने और स्वचालित रूप से वापस नहीं आने की तुलना में इसके लिए थोड़ा समय समर्पित करना पसंद करता हूं।

मैं आपको सुझाव दूंगा कि आप दैनिक रूप से अपडेट के लिए जाँच करने के लिए apt को कॉन्फ़िगर करें, लेकिन केवल आपको सूचित करें कि वे उपलब्ध हैं, और जब तक आप आस-पास न हों, तब तक उनका प्रदर्शन न करें। वहाँ हमेशा एक मौका है कि ए एप्टीट्यूड अपग्रेड कुछ टूट जाएगा, या कुछ उपयोगकर्ता इनपुट की आवश्यकता होगी।

apticron आपके लिए ऐसा करने के लिए एक अच्छा पैकेज है, या आप बस एक क्रॉन जॉब कर सकते हैं जो कुछ इस तरह से निष्पादित करता है:

apt-get update -qq; apt-get upgrade -duyq

मैं आपको किसी भी उच्च प्राथमिकता को देखने के लिए कभी भी अपग्रेड करने की सलाह दूंगा या - लेकिन मैं तब तक इंतजार करना पसंद नहीं करता जब तक कि प्रदर्शन करने के लिए 30 या 40 अपग्रेड न हों - क्योंकि तब अगर कुछ टूट जाता है तो संकीर्णता के लिए कठिन होता है जो आपके सिस्टम को तोड़ देता है।

इसके अलावा, आप अपने LAMP सर्वर पर कौन से पैकेज चला रहे हैं, इसके आधार पर, आप अपनी रिपॉजिटरी सूची में डेबियन वॉलीटाइल और / या डॉटडेब रिपॉजिटरी को जोड़ना चाह सकते हैं , क्योंकि वे डेबियन के मानक रिपोज के पैच और वायरस पैटर्न अपडेट के शीर्ष पर बहुत अधिक रहते हैं। ।

हम डाउनलोड को स्वचालित करने के लिए cron-apt का उपयोग करते हैं, और सलाह के आधार पर मैंने यहाँ SF पर देखा है । अब हम cron-apt config फाइल में सिर्फ सुरक्षा रिपॉजिटरी के साथ एक स्रोत सूची शामिल करते हैं, इसलिए केवल सुरक्षा सुधार स्वचालित रूप से किसी भी आगे की कार्रवाई के बिना स्थापित होते हैं।