Eben. Man bedenke was passiert, wenn konkurrierende Konfigurationsdateien vorliegen.
Daher ist mein Cron-Apt auch nur so eingestellt, dass es neue Paketversionen zwar schonmal runterlädt aber noch nicht installiert. Ich kriege dann aber eine E-Mail aus der ich erkennen kann, dass es neue Versionen gibt. Installieren muss ich die dann zwar selber aber so behalte ich wenigstens die Kontrolle.
SunTzu wrote:Daher ist mein Cron-Apt auch nur so eingestellt, dass es neue Paketversionen zwar schonmal runterlädt aber noch nicht installiert. Ich kriege dann aber eine E-Mail aus der ich erkennen kann, dass es neue Versionen gibt. Installieren muss ich die dann zwar selber aber so behalte ich wenigstens die Kontrolle.
Ist die Zeitverzögerung bis zum Installieren der Sicherheitsupgrades nicht unnötig hoch?
Es sind dann üblicherweise ca. einige Stunden, aber ich kann und will einfach nicht alle fünf Minuten schauen, ob es neue Versionen oder Sicherheitslücken, etc. gibt. Selbst mit mehreren Admins kannst du einfach keine 100%ig perfekte, verzögerungslose Updatepolitik fahren. Ist zumindest meine, aus praktischer Erfahrung gewachsene Meinung.
Außerdem sollte man ja auch überlegen, dass wenn eine Sicherheitslücke in Amerika bekannt wird, sagen wir mal dort abends, dann ist es hier Nacht. Und wenn genau in dem Zeitrahmen zwischen Bekanntwerden der Lücke und unserem Lesen der Mail jemand sich reinhackt - OK, Pech, shit happens. Da ist dann vor allem die Sicherung der einzelnen Dienste und eine gute Backup-Strategie wichtig. IMHO sogar wichtiger als mehrmals täglich nach neuen Softwareversionen ausschau halten.
Zusätzlich sollte man noch beachten, dass viele Sicherheitslücken in, nennen wir sie mal ausgereifteren Programmen für mich bei weitem nicht so missionskritisch sind wie es einem manchmal erzählt wird. So ist auf Webservern eine Lücke in einer Datenbank, mit der sich ein unprivilegierter Shellnutzer alle vorhandenen Datenbanken anzeigen lassen kann nicht sonderlich kritisch, da ich keine Shellnutzer zulasse.