LAMP 와 Subversion 서버 가 될 새로운 Linux Debian lenny 서버를 설치했습니다 . 자동 업데이트를 활성화해야합니까?
사용하도록 설정하면 최신 보안 패치가 있는지 확인합니다. 데비안 스 테이블은 보안 패치 만 제공하기 때문에 시스템을 손상시키지 않아야합니다. 수동으로 설치하면 며칠 및 여러 주 동안 보안 위험이 높아질 수 있습니다.
전임 시스템 관리자가 아니므로 보안 게시판을 볼 시간이 없습니다.
일반적으로 서버로 무엇을하고 있습니까? 당신의 조언은 무엇입니까?
답변
(자동 업그레이드에 관한 경고는 이미 이전 포스터에서 발표되었습니다.)
지난 몇 년 동안 데비안 보안 팀의 실적을 감안할 때, 업그레이드가 실패 할 위험은 거의 방문하지 않는 시스템에서 자동 업데이트의 이점보다 훨씬 적습니다.
데비안 레니는 무인 업그레이드 를 제공하는데, 우분투에서 시작되었으며 레니 /5.0부터 데비안 무인 업그레이드를위한 실질적인 솔루션으로 간주됩니다.
데비안 시스템에서 설치하고 실행하려면 unattended-upgrades패키지 를 설치해야 합니다.
그런 다음이 줄을 다음에 추가하십시오 /etc/apt/apt.conf.
APT :: 정기 :: 업데이트-패키지-목록 "1"; APT :: 정기 :: 무인 업그레이드 "1";
(참고 :에서 데비안은 스퀴즈 / 6.0은 더 없다 /etc/apt/apt.conf기본 방법은 위의 라인을 만들 것이다, 다음 명령을 사용하는 것입니다. /etc/apt/apt.conf.d/20auto-upgrades🙂
sudo dpkg-reconfigure-무인 업그레이드 쟁기
그러면 크론 작업이 야간에 실행되고 설치해야하는 보안 업데이트가 있는지 확인합니다.
무인 업그레이드 작업은에서 모니터링 할 수 있습니다 /var/log/unattended-upgrades/. 커널 보안 픽스가 활성화 되려면 서버를 수동으로 재부팅해야합니다. 계획된 (예 : 월간) 유지 관리 기간 동안 자동으로 수행 할 수도 있습니다.
답변
Apt는 이제 자체 cron 작업 /etc/cron.daily/apt와 함께 제공되며 문서 자체는 다음과 같습니다.
#set -e
#
# This file understands the following apt configuration variables:
#
# "APT::Periodic::Update-Package-Lists=1"
# - Do "apt-get update" automatically every n-days (0=disable)
#
# "APT::Periodic::Download-Upgradeable-Packages=0",
# - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
# "APT::Periodic::AutocleanInterval"
# - Do "apt-get autoclean" every n-days (0=disable)
#
# "APT::Periodic::Unattended-Upgrade"
# - Run the "unattended-upgrade" security upgrade script
# every n-days (0=disabled)
# Requires the package "unattended-upgrades" and will write
# a log in /var/log/unattended-upgrades
#
# "APT::Archives::MaxAge",
# - Set maximum allowed age of a cache package file. If a cache
# package file is older it is deleted (0=disable)
#
# "APT::Archives::MaxSize",
# - Set maximum size of the cache in MB (0=disable). If the cache
# is bigger, cached package files are deleted until the size
# requirement is met (the biggest packages will be deleted
# first).
#
# "APT::Archives::MinAge"
# - Set minimum age of a package file. If a file is younger it
# will not be deleted (0=disable). Usefull to prevent races
# and to keep backups of the packages for emergency.
답변
apticron을 설치하고 /etc/apticron/apticron.conf에서 EMAIL = 설정을 변경하십시오.
Apticron은 최신 업데이트를 확인하고 다운로드합니다. 설치되지 않습니다. 보류중인 업데이트가 포함 된 메일을 보내드립니다.
답변
내 충고 : 예, 보안 업데이트를 자동으로 받으십시오. 약 4 년 전에 전용 데비안 서버가 있었고 자동 업데이트가 없었습니다. 나는 배포판에서 알려진 취약점을 악용 한 웜이 풀렸을 때 크리스마스를 맞아 휴가를 갔다. 휴가에서 돌아 왔을 때 서버가 해킹당했습니다.
저에게 응용 프로그램을 손상시킬 위험은 매우 낮으며, 잘 알려진 취약점이있는 버전을 실행하여 해킹하는 것보다 훨씬 낮습니다.
답변
자동 업데이트를 사용하지 않습니다. 나는 주위에있을 때 업그레이드가 완료되는 것을 좋아합니다. 잘못되면 물건을 정리할 시간이 있습니다. 보안 게시판을 다루지 않으려면 업데이트 확인 사이의 시간을 결정하고 매주 업데이트를 결정하십시오. “태도 업데이트; 적성 dist- 업그레이드 (또는 적성 안전 업그레이드)”와 같이 간단합니다.
메일 서버가 갑자기 사라지고 자동으로 백업되지 않는 것보다 약간의 시간을 할애하는 것을 선호합니다.
답변
매일 업데이트를 확인하도록 apt를 구성하는 것이 좋지만 사용 가능한 업데이트 만 알리고 주변에있을 때까지 업데이트를 수행하지 않는 것이 좋습니다. 항상 apt-get 업그레이드로 인해 문제가 발생하거나 사용자 입력이 필요할 수 있습니다.
apticron 은 당신을 위해 이것을하기위한 좋은 패키지이거나 다음과 같은 것을 실행하는 cron 작업을 만들 수 있습니다.
apt-get update -qq; apt-get upgrade -duyq
우선 순위가 높 거나 높은 것을 볼 때마다 업그레이드하는 것이 좋습니다. 또한 업그레이드 할 업그레이드 가 30 ~ 40 회가 될 때까지 기다리는 것도 좋지 않습니다.
또한 LAMP 서버에서 실행중인 패키지에 따라 데비안 표준 저장소보다 패치 및 바이러스 패턴 업데이트에 훨씬 더 많은 영향을 미치기 때문에 데비안 volitile 및 / 또는 dotdeb 저장소를 리포지토리 목록에 추가 할 수 있습니다. .
답변
우리는 cron-apt를 사용하여 다운로드를 자동화 하고 SF에서 본 조언에 따라 이제 cron-apt 구성 파일에 보안 저장소 만있는 소스 목록을 포함하므로 추가 조치없이 보안 수정 사항 만 자동으로 설치됩니다.