Soru Bir Ubuntu sunucusunda otomatik güvenlik güncellemelerini etkinleştirmeli miyim? [kapalı]


Bu konuda her yerde kararlaştırılmış bir cevap bulamıyorum, bu yüzden kendime sormam gerektiğini düşündüm.

Bunları kullanarak otomatik güvenlik güncellemelerini etkinleştirmem gerekirse, 12.04 veya 14.04 çalışan beş Ubuntu sunucum var. unattended-upgrades? Yoksa her ay manuel güncellemeler yapmalı mıyım?

Bununla, güvenli / herhangi bir işletim sistemi / güvenlik sorununa yol açabilir mi? Faydaları eksilerini ağırlaştırıyor mu?


8
2018-05-12 00:22


Menşei


Pencereler için bile güncellemelerin otomatik olarak uygulanmasına izin verirdim. Bir sistemi bozan bir güncellemenin olası bir senaryonunu riske atmaktan ziyade riske atmak istiyorum. Bu kabul edilebilir bir ticaret. - aseq


Cevaplar:


Makinenizin nihayetinde neye bağlı olduğuna bağlı. EVER'i kilitleyemeyen kritik görev uygulamaları çalıştırıyor mu? O zaman muhtemelen otomatik güncellemeler için en iyi değil. Ağınızın çıkış noktasında mı oturuyor? Muhtemelen iyi bir aday.

Güvenlik ve istikrarı dengelemek ve kabul edilebilir uzlaşmalarınızın ne olduğunu bulmak için aşağıya iniyor. Muhtemelen sıfır günün hedefi olmayacaksınız ama belki de kesinlikle çıkamayacağınız çok hassas verilere sahipsiniz, yapmanız gereken bir karar.

Benim önerim, ağınızı en güvenlik filtrelemenin ağınızın kenarında (harici uygulamaları, akıllı yangın duvarı, olası DMZ, vb.) Engellenmesi ve geri kalanını bir şekilde tedavi edecek şekilde tasarlamanızdır. Kuruluşunuz için en uygun olanı - bu, güncellemeleri içeren gece yeniden başlatma veya haftalık veya otomatik olma anlamına gelir :)


4
2018-05-12 04:22





Evet. Bu otomatik güncellemeleri etkinleştirmelisiniz. Sisteminizi olumsuz etkilemek için bu güncelleştirmelerden daha eksik veya gecikmeli olarak sisteminizin ele geçirilme olasılığınız çok daha yüksektir.


2
2018-05-12 02:34





Benim temel kuralım, sanal makinelerde güvenliği (ve genellikle güvenliksiz, ayrıca) güncellemeyi bıraktığım, ancak el ile bir sistem güncellemesini manuel olarak zamanlamayı planlıyorum.

Sonuçta, bir VM ve iyi bir yedekleme stratejisi ile, kurtarılması çok kolaydır, çıplak metal şeylerle daha karmaşık hale gelir.


1
2018-05-12 07:40





Katılımsız yükseltmeleri etkinleştirmek iyi bir fikir olduğunu düşünüyorum.

Yıllarca katılımsız yükseltmeleri hem debian kararlı hem de ubuntu sürümlerinde kullandım ve hiçbir zaman bir sorun bulamadım. Sadece güvenlik güncellemelerini ve belki de düzenli güncellemeleri etkinleştirdiğiniz sürece. Ve katılımsız yükseltmeler, kullanıcı girdisine ihtiyaç duyarsa bir şeyi güncellemez

Genel olarak, debian veya ubuntu veya redhat / centos'un kararlı sürümleriyle uğraşıyorsanız, güncellemelerinin kararlı olduğundan ve herhangi bir şeyi dağıtmadığından emin olabilirsiniz.

Eğer apache gibi bir şeye bağlı iseniz, paket yöneticisinin bunu güncellememesini ve bunu elle yapmasını söyleyebilirsiniz.

Ayrıca, kaçırılan güvenlik yamaları nedeniyle bir sunucuyu hacklemiş olmaktan çok bir şeyleri riske atmayı tercih ediyorum.


1
2018-05-12 08:10





İdeal bir dünyada, üretim sunucularınıza ek olarak, işletim sisteminizin yanı sıra kendi uygulamalarınızı da (güncellemelerle) test etmeyi amaçlayan ek üretim dışı sistemlere sahip olursunuz.

Bu test ortamında, güncellenmiş yazılım bileşenlerinden hiçbiri, mevcut konfigürasyonunuzu bozduktan sonra, bunlar üretim ortamınıza uygulanmalıdır.

Bu otomatik güncellemelere karşı savunuculuk yapardı.

Tipik olarak, bir güncellemeyi planladığınızda, her bir sisteme manuel olarak yama yapmak için oturum açmanız gerekmeyecek şekilde belirli bir otomasyon seviyesi istersiniz :)


0
2018-05-12 07:28