我应该在Debian lenny stable上启用自动更新吗？

我已经安装了新的Linux Debian lenny服务器，它将是LAMP和Subversion服务器。我是否必须启用自动更新？

如果启用它，则可以确定我具有最新的安全补丁程序。这也不应该破坏我的系统，因为Debian stable仅提供安全补丁。如果我手动安装它们，则可能在数天和数周的时间里承受很高的安全风险。

请记住，我不是专职系统管理员，因此我没有时间查看安全公告。

您通常使用服务器做什么？你有什么建议？

（有关自动升级的警告已在以前的海报中提出过。）

鉴于过去几年Debian Security团队的往绩，我认为升级失败的风险远不及对很少访问的系统进行自动更新的好处。

Debian Lenny附带了无人值守升级，它起源于Ubuntu，被认为是从Lenny / 5.0开始的Debian无人值守升级的事实上的解决方案。

要启动它并在Debian系统上运行，您需要安装该unattended-upgrades软件包。

然后将这些行添加到/etc/apt/apt.conf：

APT ::定期的:: Update-Package-Lists“ 1”;
APT ::定期::无人值守升级“ 1”;

（注意：在Debian Squeeze / 6.0中没有/etc/apt/apt.conf。首选方法是使用以下命令，这将在/etc/apt/apt.conf.d/20auto-upgrades：中创建上述行）

sudo dpkg-reconfigure -plow无人值守升级

然后，一个cron作业每晚运行一次，并检查是否需要安装安全更新。

可以在中监视无人值守升级操作/var/log/unattended-upgrades/。请注意，要使内核安全修补程序生效，您需要手动重新引导服务器。这也可以在计划的（例如每月）维护时段内自动完成。

Apt现在带有自己的cron作业/etc/cron.daily/apt，并且在文件本身中找到了documentaion：

#set -e
#    
# This file understands the following apt configuration variables:
#
#  "APT::Periodic::Update-Package-Lists=1"
#  - Do "apt-get update" automatically every n-days (0=disable)
#
#  "APT::Periodic::Download-Upgradeable-Packages=0",
#  - Do "apt-get upgrade --download-only" every n-days (0=disable)
#
#  "APT::Periodic::AutocleanInterval"
#  - Do "apt-get autoclean" every n-days (0=disable)
#
#  "APT::Periodic::Unattended-Upgrade"
#  - Run the "unattended-upgrade" security upgrade script
#    every n-days (0=disabled)
#    Requires the package "unattended-upgrades" and will write
#    a log in /var/log/unattended-upgrades
#
#  "APT::Archives::MaxAge",
#  - Set maximum allowed age of a cache package file. If a cache
#    package file is older it is deleted (0=disable)
#
#  "APT::Archives::MaxSize",
#  - Set maximum size of the cache in MB (0=disable). If the cache
#    is bigger, cached package files are deleted until the size
#    requirement is met (the biggest packages will be deleted
#    first).
#
#  "APT::Archives::MinAge"
#  - Set minimum age of a package file. If a file is younger it
#    will not be deleted (0=disable). Usefull to prevent races
#    and to keep backups of the packages for emergency.

只需安装apticron并更改/etc/apticron/apticron.conf中的EMAIL =设置

Apticron将检查最新更新并下载。它不会安装它们。它将向您发送一封邮件，其中包含待处理的更新。

我的建议：是的，自动获取安全更新。大约4年前，我有一台专用的Debian服务器，没有自动更新。我在圣诞节前后休假，当时释放了一个蠕虫，该蠕虫利用了发行中的一个已知漏洞（不记得是哪个漏洞）。当我从假期回来时，我的服务器被黑了。

对我来说，破坏应用程序的风险非常低，比运行具有已知漏洞的版本所窃取的风险要低得多。

我从不使用自动更新。我喜欢有空的时候进行升级，以防万一出错。如果您不想处理安全公告，请决定在检查更新之间感到满意的时间，然后决定每周进行一次更新。它很简单：“ aptitude更新； aptitude dist升级（或aptitude安全升级）”

我宁愿花一点时间而不是让我的邮件服务器突然消失而不自动恢复。

我建议您将apt配置为每天检查一次更新，但只通知您有可用更新，直到您在身边时才执行。apt-get升级总是有可能破坏某些功能或需要一些用户输入。

apticron是为您执行此操作的一个很好的程序包，或者您可以做一个执行以下内容的cron工作：

apt-get update -qq; apt-get upgrade -duyq

我建议您在有更高优先级或更高优先级的任何时候进行升级-但我也不想等到要执行30或40次升级-因为这样一来，如果出现问题，很难准确地确定破坏系统的软件包。

另外，根据您在LAMP服务器上运行的软件包的不同，您可能希望将debian volitile和/或dotdeb存储库添加到存储库列表中，因为与debian的标准存储库相比，它们在补丁程序和病毒码更新方面保持着更多的优势。 。

我们使用cron-apt来自动执行下载，并且根据我在SF上看到的建议，我们现在在cron-apt config文件中包括一个仅包含安全性存储库的源列表，因此仅自动安装了安全修复程序，而无需任何进一步的操作。