use*_*220 25 security linux debian update
我已经安装了一个新的 Linux Debian lenny服务器,它将是一个LAMP和一个Subversion服务器。我应该启用自动更新吗?
如果我启用它,我确信我有最新的安全补丁。它也不应该破坏我的系统,因为 Debian stable 只提供安全补丁。如果我手动安装它们,我可能会在多天和多周内面临高安全风险。
请记住,我不是全职系统管理员,所以我没有时间查看安全公告。
你通常用你的服务器做什么?你的建议是什么?
Mic*_*ner 28
(关于自动升级的警告已经在之前的海报中表达过。)
鉴于过去几年 Debian 安全团队的业绩记录,我认为升级中断的风险远小于在很少访问的系统上进行自动更新的好处。
Debian Lenny 带有unattended-upgrades,它起源于 Ubuntu,被认为是从 Lenny/5.0 开始的 Debian 无人值守升级的事实上的解决方案。
要在 Debian 系统上启动并运行它,您需要安装该unattended-upgrades软件包。
然后将这些行添加到/etc/apt/apt.conf:
APT::Periodic::Update-Package-Lists "1"; APT::定期::无人值守-升级“1”;
(注意:在 Debian Squeeze/6.0 中没有/etc/apt/apt.conf。首选方法是使用以下命令,它将在/etc/apt/apt.conf.d/20auto-upgrades:) 中创建上述行
须藤 dpkg-reconfigure -plow 无人值守升级
然后每晚运行一个 cron 作业并检查是否有需要安装的安全更新。
无人值守升级的操作可以在/var/log/unattended-upgrades/. 请注意,要使内核安全修复程序生效,您需要手动重新启动服务器。这也可以在计划的(例如每月)维护窗口的过程中自动完成。
Apt 现在带有它自己的 cron 作业 /etc/cron.daily/apt 并且文档可以在文件本身中找到:
#set -e
#
# This file understands the following apt configuration variables:
#
# "APT::Periodic::Update-Package-Lists=1"
# - Do "apt-get update" automatically every n-days (0=disable)
#
# "APT::Periodic::Download-Upgradeable-Packages=0",
# - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
# "APT::Periodic::AutocleanInterval"
# - Do "apt-get autoclean" every n-days (0=disable)
#
# "APT::Periodic::Unattended-Upgrade"
# - Run the "unattended-upgrade" security upgrade script
# every n-days (0=disabled)
# Requires the package "unattended-upgrades" and will write
# a log in /var/log/unattended-upgrades
#
# "APT::Archives::MaxAge",
# - Set maximum allowed age of a cache package file. If a cache
# package file is older it is deleted (0=disable)
#
# "APT::Archives::MaxSize",
# - Set maximum size of the cache in MB (0=disable). If the cache
# is bigger, cached package files are deleted until the size
# requirement is met (the biggest packages will be deleted
# first).
#
# "APT::Archives::MinAge"
# - Set minimum age of a package file. If a file is younger it
# will not be deleted (0=disable). Usefull to prevent races
# and to keep backups of the packages for emergency.
小智 5
只需安装 apticron 并更改 /etc/apticron/apticron.conf 中的 EMAIL= 设置
Apticron 将检查最新更新并下载它们。它不会安装它们。它会向您发送一封邮件,其中包含待处理的更新。
我的建议:是的,自动获取安全更新。大约 4 年前,我有一个专用的 Debian 服务器,没有自动更新。我在圣诞节前后去度假,当时发布了一种蠕虫,它利用了发行版中的一个已知漏洞(不记得是哪个漏洞)。当我休假回来时,我的服务器被黑了。
对我来说,破坏应用程序的风险非常低,远低于通过运行具有众所周知漏洞的版本而被黑客攻击的风险。
| 归档时间: |
|
| 查看次数: |
22861 次 |
| 最近记录: |