Действительно ли безопасно включить необслуживаемые обновления для живого веб-сервера Ubuntu (Nginx/Apache)?
Я задавался вопросом, безопасно ли иметь unattended-upgrades пакет совершенствует систему живого веб-сервера.
Здесь я конкретно задаюсь вопросом, могли ли проблемы произойти, когда пакеты, такие как nginx или apache2 обновляют конфигурационные файлы.
Я ожидал бы, что updater просто пойдет со значениями по умолчанию, как тогда, когда Вы делаете ручные обновления и сохраняете существующую конфигурацию. Я волнуюсь однако, что обновления могли бы произвольно повредить серверы, когда существует обновление основной версии некоторого пакета или другого.
Я выполняю много серверов, таким образом, этот сценарий мог развиться в очень плохой день довольно быстро :)
Какие-либо события Вы могли совместно использовать здесь? Это обычно - хорошая или плохая идея сделать это? Есть ли простой способ добраться unattended-upgrades пакет для отправки сообщения о том, что было обновлено и если какие-либо проблемы неожиданно возникли?
1 ответ
unattended-upgrades недавно заставил apache2 отключиться от меня. После осмотра я понял, что причиной было автоматическое обновление некоторых пакетов php7.0- *.
Я все еще на грани того, не перевесят ли преимущества автоматических обновлений затраты, когда однажды они неизбежно пойдут не так, - это будет зависеть от того, какой сервер вы используете, я полагаю, и вашего аппетита к риску;)
В своем исследовании я наткнулся на файл конфигурации /etc/apt/apt.conf.d/50unattended-upgrades, в котором есть настройки, которые позволят вам добавить адрес электронной почты для пакета, чтобы при каждом автоматическом обновлении отправлять вам отчет.
Вам необходимо добавить строку в файл конфигурации (вам также понадобится установить почтовый пакет, чтобы фактически отправить письмо):
Unattended-Upgrade::Mail "me@example.com";
Дополнительные сведения о конфигурации файл доступен: https://gist.github.com/roybotnik/b0ec2eda2bc625e19eaf https://help.ubuntu.com/community/AutomaticSecurityUpdates
[ Пакет 113] также оставляет след того, что сделано в журналах: /var/log/unattended-upgrades/ и /var/log/apt/.