web-dev-qa-db-ja.com

ライブのUbuntu Webサーバー(Nginx / Apache)の無人アップグレードを有効にしても安全ですか?

unattended-upgradesパッケージを使用して、ライブWebサーバーでシステムを最新の状態に保つことが安全かどうか疑問に思っていました。

ここでは、nginxまたはApache2などのパッケージが構成ファイルを更新するときに問題が発生する可能性があるかどうかを具体的に疑問に思っています。

手動でアップグレードを行い、既存の構成を保持する場合のように、アップデーターはデフォルトのままにすることを期待しています。ただし、何らかのパッケージのメジャーバージョンアップデートがあると、アップグレードによってサーバーが勝手に破損する可能性があるのではないかと心配しています。

私は多くのサーバーを実行しているので、このシナリオは非常に速く非常に悪い日に発展する可能性があります:)

ここで共有できる経験はありますか?一般的にこれを行うのは良い考えですか、悪い考えですか? unattended-upgradesパッケージを取得して、アップグレードされたものと何か問題が生じた場合のレポートを送信する簡単な方法はありますか?

2
Arni J

unattended-upgradesにより、最近Apache2がオフラインになりました。掘り下げた後、いくつかのphp7.0- *パッケージの無人アップグレードが原因であることに気付きました。

無人アップグレードのメリットが、いつかは間違いなくうまくいかない場合にコストを上回るかどうかについて、私はいまだにフェンスにかかっています。

私の研究では、/etc/apt/apt.conf.d/50unattended-upgrades configファイルに遭遇しました。このファイルには、自動アップグレードが実行されるたびにレポートを送信するパッケージの電子メールアドレスを追加できる設定があります。

設定ファイルに行を追加する必要があります(実際にメールを送信するにはメールパッケージもインストールする必要があります)。

Unattended-Upgrade::Mail "[email protected]";

構成ファイルの詳細は次のとおりです。 https://Gist.github.com/roybotnik/b0ec2eda2bc625e19eafhttps://help.ubuntu.com/community/AutomaticSecurityUpdates

unattended-upgradesパッケージは、ログで行われた処理の痕跡も残します:/var/log/unattended-upgrades/および/var/log/apt/

3
jt_uk