Как лучше всего автоматически устанавливать обновления безопасности? Или какие-либо обновления по этому вопросу?
Этот ответ на вопрос об обновлении рабочего стола будет применяться к серверам.
Обратите внимание, что некоторые обновления (на сервере, как правило, большинство обновлений, из личного опыта) требуют перезапуска одной или нескольких служб или даже перезагрузки всего сервера для вступления в силу. Перезапуск сервисов, не говоря уже о перезагрузке, на самом деле не является задачей, которую я чувствую себя комфортно при автоматизации.
Я использую cron-apt на своем сервере для автоматизации загрузки, но не установки обновлений. Он делает это один раз в день, а не работает как демон. Он пишет мне, когда появляются обновления, ожидающие установки.
Когда я получаю такое электронное письмо, я вхожу в систему, когда это удобно, и устанавливаю обновления, а затем перезапускаю все службы, требующие перезапуска.
Обычно не очевидно, какие службы необходимо перезапустить. Например, обновление libssl обычно требует перезапуска практически всех веб-служб, почтовых служб, служб SSH и т. Д.. Или обновление libpng может потребовать перезапуска Apache, поскольку PHP ссылается на него.
Поэтому я использую checkrestart
, чтобы проверить, какие службы следует перезапускать после каждого обновления. Это обеспечивается пакетом debian-goodies .
Я также знаю, что если ядро обновляется, мне всегда нужно перезагружаться.