私はこれについて合意された答えをどこにも見つけることができないようですので、私はそれを自分で尋ねると思いました。
12.04または14.04を実行しているUbuntuサーバーを5台持っていますが、unattended-upgrades
を使用してこれらの自動セキュリティ更新を有効にする必要がありますか?または、毎月手動で更新を実行する必要がありますか?
これは、安全であるか/これらを有効にしてOS /セキュリティの問題を引き起こす可能性があることを意味しますか?メリットは短所を上回りますか?
それはあなたのマシンが最終的に何をするかに依存します。これまでにクラッシュできないミッションクリティカルなアプリケーションを実行していますか?おそらく、自動更新には最適ではありません。ネットワークの出口ポイントにありますか?おそらく良い候補です。
セキュリティと安定性を比較検討し、許容できる妥協点を見つけることが重要です。ほとんどの場合、あなたはゼロデイの目標にはならないでしょうが、おそらくあなたが絶対に出て行けない非常に機密性の高いデータを持っているでしょう、それはあなたがしなければならない決定です。
私の提案は、ネットワークのエッジでほとんどのセキュリティフィルタリングが行われるようにネットワークを設計し(外部アプリケーション、スマートファイアウォール、可能なDMZなどをブロックする)、残りを次のような方法で処理することです組織に最適-毎晩再起動するか、毎週または自動で再起動するか:)
はい。これらの自動更新を有効にする必要があります。実行中のシステムに悪影響を与えるこれらの更新よりも、更新の不足または遅延によってシステムが危険にさらされる可能性がはるかに高くなります。
無人アップグレードを有効にすることをお勧めします。
私はdebianの安定版とubuntu ltsの両方のリリースで何年も無人アップグレードを使用してきましたが、問題はありませんでした。セキュリティ更新と、おそらく定期的な更新のみを有効にする限り。無人アップグレードでは、ユーザー入力が必要な場合は更新されません
一般的に言えば、debianやubuntu、またはredhat/centosの安定版リリースを使用している場合は、それらの更新版が安定していて、混乱しないことを確認できます。
Apacheのようなものに依存している場合は、パッケージマネージャーに更新しないように選択的に指示し、手動で更新できます。
さらに、セキュリティパッチを見逃してサーバーをハッキングするよりも、何かを壊す危険性があります。
私の経験則では、仮想マシンでセキュリティ(および多くの場合、非セキュリティも)更新を有効にしたままにしますが、ベアメタルインスタンスでシステム更新を手動でスケジュールします。
結局のところ、VMを使用すると、優れたバックアップ戦略は非常に簡単に回復できますが、ベアメタルを使用すると、より複雑になります。
理想的な世界では、実稼働サーバーに加えて、独自のアプリケーションとOSの両方(への更新)をテストすることを目的とした非実稼働システムがあります。
そのテスト環境で、更新されたソフトウェアコンポーネント以外のコンポーネントが既存の構成を破壊することを検証したら、それらを運用環境に適用する必要があります。
それは自動化された更新に対して反対するでしょう。
通常、更新をスケジュールすると、個々のシステムにログオンして手動でパッチを適用する必要がないように、特定のレベルの自動化が必要になります。