À quelle fréquence dois-je mettre à jour notre serveur Linux ?

Là où je travaille, nous disposons d'un processus assez complet qui consiste à utiliser un logiciel appelé PatchLink pour nous signaler les mises à jour les plus importantes en matière de sécurité, et nous les appliquons après les avoir testées, paquet par paquet. Mais nous avons des milliers de serveurs.

Si vous n'avez que deux serveurs, le processus devrait être beaucoup plus simple. Bien que je ne pense pas que faire un "apt-get update/upgrade" soit votre meilleure option.

Je surveillerais les correctifs pour le logiciel que vous utilisez et déciderais du moment de la mise à niveau en fonction des correctifs de ces versions.

Puisque vous avez un serveur de test, évidemment, testez toujours les mises à jour avant de les appliquer.

J'aime bien cron-apt pour automatiser ce processus, mais comme l'a souligné @dinomite sur une autre question concernant les mises à jour, le configurer spécifiquement pour automatiser les mises à jour liées à la sécurité est une idée très intelligente - vous pouvez ensuite mettre à jour manuellement ce dont vous avez besoin. J'avais utilisé cron-apt pour toutes les mises à jour, mais j'ai changé cela en fonction de sa réponse. Si vous l'aimez, vous devriez probablement voter sa réponse en haut plutôt que celui-ci.

Sous Debian, j'installe cron-apt et modifier son fichier de configuration pour qu'il m'envoie un message s'il y a des changements. De cette façon, je suis informé des mises à jour de mes systèmes et je fais les mises à jour à la main.

Dans le même ordre d'idées que cron-apt, vous devriez jeter un coup d'œil à l'option unattended-upgrades paquet http://packages.debian.org/lenny/unattended-upgrades .

Il est très facile à configurer et vous permettra de télécharger et d'appliquer automatiquement les mises à jour de sécurité, tout en laissant les autres mises à jour pour une mise à jour manuelle (ou, à votre discrétion, tout mettre à jour !).

Le guide officiel du serveur Ubuntu contient une section assez détaillée sur l'utilisation du paquet unattended-upgrades. https://help.ubuntu.com/9.04/serverguide/C/automatic-updates.html

Note : selon votre niveau de prudence/paranoïa, vous pouvez faire une mise à jour progressive sur un groupe de serveurs de test d'abord, puis s'il n'y a pas de problèmes, permettre à vos boîtes de production de se mettre à jour, bien que je n'ai personnellement pas rencontré de problèmes avec les mises à jour de sécurité qui ont fait des ravages jusqu'à présent (je touche du bois)...

Il existe également une option de configuration permettant de vous envoyer par courrier électronique les résultats de chaque mise à jour de sécurité, une fois celle-ci appliquée. En outre, si des boîtes de dialogue ou des invites interactives ont été présentées pendant la mise à jour et qu'elles doivent être modifiées manuellement par un administrateur système, elles seront également mentionnées.

Personnellement, je désactive les mises à jour automatiques et je n'effectue pas régulièrement de mise à jour des paquets sur les serveurs de mes environnements, sauf si : (a) il existe un avis important du CERT pour l'un des paquets de mon système ; (b) je dois mettre à jour des paquets individuels pour des raisons spécifiques ; (c) le système d'exploitation ou les paquets arrivent en fin de cycle, ils ne seront plus pris en charge et nous devons continuer à les prendre en charge. Mon raisonnement est que mettre à jour sans savoir ce qui est modifié ou pourquoi laisse trop de place à la casse. Je fais ce genre de choses depuis bientôt 14 ans et cela fonctionne bien.