Ubuntuの無人アップグレード/自動更新の安全性
私はいくつかのubuntuボックスを最新の状態に保ち、パッチを適用しようとしているところです(10.4.2 LTS)。私が得ている提案の1つは、無人アップグレードをセットアップすることです( .ubuntu.com/community/AutomaticSecurityUpdates )。
以前は自動更新を設定することに反対してきました。これは主に、更新プロセス中に何かが壊れるという妄想のためです。しかし今、私はこれがどれほど有効であるか(そして、パッチが適用されていない可能性のあるサーバーがある場合と比較してどれほどのリスクがあるか)を疑問視し始めています。これは健全な考えですか?
現在、Puppetのセットアップも行っていますが、モジュールの作成/ puppetへのサーバーの移行は遠く離れているようです。
私は最近、Ubuntuパッケージの更新で深刻な混乱を引き起こしているため、この時点でパッケージを手動で展開することをお勧めします(いくつかのテストの後、または少なくともVMスナップショット))。 apticronのようなもので、保留中のパッチについてメールを送信します。
とはいえ、中央の更新管理ツールの方がはるかに優れています。残念ながら、 かなりの進歩 はありませんでした。
私はそれはあなたの状況に依存すると思います-あなたはリスクを比較検討しなければなりません。
アップデートがうまくいかなかった場合、どの程度の損害が発生する可能性がありますか?これは注文をリアルタイムで処理する本番サーバーですか? 1時間のダウンタイムはあなたに多くのお金を要しますか?
自動更新を実行しないと、ハッカーやゼロデイエクスプロイトにさらされやすくなります。ハッカーはどのくらいの損害を与えることができますか?サーバーは、盗まれた場合、数時間のダウンタイムよりもはるかに多くの費用がかかる可能性のある非常に機密性の高い多くの情報をホストしていますか?
個人的に、私はセキュリティの面で誤解し、無人アップグレードを実行しています。ただし、更新が失敗する可能性を最小限に抑えるために、私はセキュリティ更新のみを行い、残りの更新は手動で行います。
更新が失敗する場合は、マシンが再起動されるまで気付かないと思います。その場合、更新が手動でインストールされたか自動でインストールされたかに違いはありません。