Quão seguras são as atualizações autônomas / atualizações automáticas para o Ubuntu

14

Estou no processo de tentar manter várias caixas do ubuntu atualizadas e corrigidas (10.4.2 LTS), uma sugestão que estou recebendo é a configuração de atualizações autônomas ( https://help.ubuntu.com/community/ AutomaticSecurityUpdates ).

No passado, eu era contra a configuração de atualizações automáticas, principalmente devido à paranóia de que isso quebraria algo durante o processo de atualização. No entanto, agora estou começando a questionar quão válido isso é (e quanto de risco é comparado a ter servidores potencialmente sem patches). Esta é uma ideia sensata?

Também estamos no processo de configuração do Puppet, no entanto, a criação de módulos / migração de servidores para o fantoche parece muito distante.

Pratik Amin
fonte

Respostas:

6

Como as atualizações de pacotes do Ubuntu causam sérios estragos no passado recente, minha recomendação seria implantar manualmente os pacotes neste momento (após alguns testes ou pelo menos um instantâneo da VM) com algo como apticron para enviar um e-mail sobre patches pendentes.

Dito isto, uma ferramenta central de gerenciamento de atualizações seria muito melhor. Infelizmente, parece não ter havido muito progresso .

Shane Madden
fonte
1
Quando você teve problemas, pode confirmar que eles estavam em um servidor Ubuntu e não em um desktop? Além disso, você teve um problema com uma atualização de segurança ou uma atualização padrão?
Mark Stosberg
1
@ MarkStosberg Não me lembro exatamente qual foi o problema de atualização de pacote que encontrei por volta dessa época no ano passado. Quero dizer que foi uma atualização do likewise-openpacote que quebrou a autenticação; não tenho certeza se foi uma atualização de segurança ou não. Mas sim, definitivamente em servidores, não em desktops.
Shane Madden
8

Eu acho que depende da sua situação - você tem que ponderar os riscos.

Quanto dano pode ser causado por uma atualização dar errado? É um servidor de produção processando pedidos em tempo real? Uma hora de inatividade custaria muito dinheiro?

Se você não executar atualizações automáticas, estará mais exposto a hackers e explorações de dia zero. Quanto dano um hacker poderia causar? Seu servidor hospeda muitas informações muito confidenciais que, se roubadas, podem custar muito mais do que algumas horas de inatividade?

Pessoalmente, erro do lado da segurança e executo atualizações autônomas. Mas, para minimizar o potencial de uma atualização estragar, eu só faço atualizações de segurança e faço as atualizações restantes manualmente.

Acho que, se uma atualização vai estragar, é improvável que eu note até que a máquina seja reinicializada; nesse caso, se a atualização foi instalada manualmente ou automaticamente, não faz diferença.

aidan
fonte