启用无人参与的Ubuntu for服务器(Nginx/Apache)升级是否安全？

Question

我想知道让unattended-upgrades包在一个实时的was服务器上保持系统的最新更新是否安全。

在这里，我特别想知道，当包(如nginx或apache2更新配置文件)时是否会出现问题。

我希望更新程序只使用默认设置，就像手动升级和保留现有配置一样。然而，我担心的是，当某个软件包或其他的主要版本更新时，升级可能会武断服务器。

我运行了很多服务器，所以这个场景可能很快就会演变成非常糟糕的一天:)

你能在这里分享什么经验吗？这样做通常是个好主意还是坏主意？是否有一种简单的方法可以让unattended-upgrades包发送一份报告，说明已经升级的内容以及出现的问题？

Answer 1

unattended-upgrades最近让apache2离线了。在深入挖掘之后，我意识到一些php7.0-*包的无人值守升级是原因所在。

当无人值守的升级有一天不可避免地出错时，我仍然对无人值守的升级带来的好处是否大于成本--这将取决于您使用服务器的目的是什么以及您的风险偏好;)

在我的研究中，我偶然发现了/etc/apt/apt.conf.d/50unattended-upgrades配置文件，它的设置允许您在每次执行自动升级时为包添加一个电子邮件地址，以便向您发送报告。

您需要将该行添加到配置文件中(您还需要安装一个邮件包才能实际发送电子邮件)：

Unattended-Upgrade::Mail "me@example.com";

配置文件的更多详细信息可查阅：https://gist.github.com/roybotnik/b0ec2eda2bc625e19eaf https://help.ubuntu.com/community/AutomaticSecurityUpdates

unattended-upgrades包还跟踪了它在日志中所做的工作：/var/log/unattended-upgrades/和/var/log/apt/。