Ubuntu的无人值守升级/自动更新的安全性

我正在尝试使多个ubuntu盒保持最新状态并进行修补（10.4.2 LTS），我得到的一个建议是设置无人值守升级（https://help.ubuntu.com/community/ AutomaticSecurityUpdates）。

过去，我一直反对设置自动更新，这主要是由于偏执狂，因为它会在更新过程中破坏某些内容。但是，现在我开始怀疑这是多么有效（与拥有未打补丁的服务器相比，这有多大的风险）。这是一个理智的想法吗？

我们也正在设置Puppet，但是创建模块/将服务器迁移到Puppet似乎还有很长的路要走。

我最近曾进行过Ubuntu软件包更新，这给我造成了严重破坏，所以我的建议是在此时手动部署软件包（经过一些测试或至少一个VM快照），并使用apticron之类的工具向您发送有关待处理的补丁程序。

也就是说，中央更新管理工具会更好。不幸的是，似乎没有太大进展。

我认为这取决于您的情况-您必须权衡风险。

更新出错会造成多大损失？这是生产服务器实时处理订单吗？一个小时的停机时间会花费您很多钱吗？

如果您不运行自动更新，则更容易受到黑客和零日漏洞的攻击。黑客可能造成多少损失？您的服务器托管着很多非常敏感的信息，如果这些信息被盗了，可能会使您花费大量的停机时间？

就个人而言，我会在安全方面犯错，并进行无人值守的升级。但是，为了最大程度地减少更新的可能性，我仅进行安全更新，然后手动进行其余更新。

我认为，如果更新即将结束，在重新引导计算机之前，我不太可能会注意到这种情况，在这种情况下，更新是手动安装还是自动安装都没有影响。