Lösung 1:
Ich führe apt-get update -qq aus; apt-get upgrade -duyq Täglich. Dadurch wird nach Updates gesucht, diese jedoch nicht automatisch durchgeführt.
Dann kann ich die Upgrades manuell ausführen, während ich zuschaue, und alles korrigieren, was schief gehen könnte.
Abgesehen von den Sicherheitsbedenken bei der Wartung eines gepatchten Systems finde ich, dass ich, wenn ich zwischen den Patches zu lange warte, am Ende eine ganze Reihe von Paketen habe die aktualisiert werden wollen, und das macht mir viel mehr Angst, als nur ein oder zwei pro Woche oder so zu aktualisieren. Daher neige ich dazu, meine Upgrades wöchentlich oder, wenn sie eine hohe Priorität haben, täglich auszuführen. Dies hat den zusätzlichen Vorteil, dass Sie wissen, welches Paket Ihr System beschädigt hat (zB wenn Sie nur ein paar auf einmal aktualisieren)
Weniger kritische Systeme aktualisiere ich immer zuerst. Ich habe auch einen "Rollback-Plan" für den Fall, dass ich das System nicht reparieren kann. (Da die meisten unserer Server virtuell sind, besteht dieser Rollback-Plan normalerweise darin, einen Schnappschuss zu machen vor dem Upgrade, auf das ich bei Bedarf zurückgreifen kann)
Abgesehen davon denke ich, dass ein Upgrade in den letzten 4 Jahren nur ein- oder zweimal etwas kaputt gemacht hat, und das auf einem hochgradig angepassten System - Sie müssen also nicht ZU paranoid sein :)
Lösung 2:
Zusätzlich zu den vorherigen Antworten - ein paar speziellere Debian-Sachen:Sie sollten debian-security-announce und debian-announce abonnieren und/oder die Debian-Sicherheitsseite besuchen.
Lösung 3:
Angenommen, Sie verwenden die stabile Version von Debian, sind die meisten Patches sicherheits- oder fehlerbezogen, was bedeuten sollte, dass es nicht zu viele größere Änderungen zwischen den Versionen eines bestimmten Pakets geben wird. Gemäß der Debian-Patch-Richtlinie sollten sich Patches auch schon seit einiger Zeit im Test befinden, bevor sie vom Betreuer in den Stable-Zweig verschoben werden. Offensichtlich wird dies Brüche beim Patchen nicht verhindern, sollte sie aber in den meisten Fällen verhindern.
Es wäre ratsam, sicherzustellen, dass Ihr Testserver auf dem neuesten Stand gehalten wird, und alle Pakete, die Fehler aufweisen, die Sie und Ihre Server betreffen, sollten auf dem neuesten Stand gehalten werden. Alle Pakete, gegen die Sicherheitshinweise verstoßen, sollten aktualisiert werden, sobald Sie wissen, dass der Patch stabil ist.
Debian ist normalerweise ein sehr stabiles Betriebssystem und Sie sollten sich nicht übermäßig um Ausfälle kümmern, aber lesen Sie immer, was aktualisiert wird, bevor es aktualisiert wird, und halten Sie Ausschau nach allem, was seltsam erscheint. Ich verwende VCS auch in meinem /etc/-Verzeichnis, um sicherzustellen, dass alle Änderungen der Konfigurationsdatei mit einem „git diff“-Befehl sichtbar sind.
Lösung 4:
Ich mache (zuerst) einen Probelauf, um zu sehen, was aktualisiert wird. Manchmal ändern Bibliotheken (nennen wir es für dieses Beispiel libfoo) ihre API, wodurch Programme beschädigt werden, die wir selbst geschrieben / installiert haben. Wenn eine kritische Bibliothek aktualisiert wird, hole ich mir die Quelle und versuche, unsere Sachen damit neu aufzubauen, bevor wir sie aktualisieren.
Ich vergewissere mich auch, dass wir nicht zu einer Zwischenversion eines öffentlichen Dienstes springen, z. B. Apache usw. Ich bleibe lieber ein Jahr zurück und stoße nicht auf zufällige Ausfälle, es sei denn, das Update ist kritisch.
Wenn Sie ein Systemadministrator sind, sollten Sie RSS-Feeds von Sites wie Secunia abrufen, die Sie frühzeitig darüber informieren sollten, ob Ihre Distribution einige Patches veröffentlichen wird.
Führen Sie niemals, niemals einfach ein blindes Upgrade / Update durch. Leider liegt die Aufgabe zu wissen, was kaputt ist, bei Ihnen, nicht bei Ihrem Distributions-Paketmanager, besonders wenn Ihr System Programmierer unterstützt.
Lösung 5:
Wo ich arbeite, haben wir einen ziemlich umfangreichen Prozess, der die Verwendung von Software namens PatchLink beinhaltet, um uns über die wichtigsten sicherheitsrelevanten Updates zu informieren, und wir wenden sie nach dem Testen Paket für Paket an. Wir haben jedoch Tausende von Servern.
Wenn Sie nur zwei Server haben, sollte der Prozess viel einfacher sein. Obwohl ich nicht denke, dass ein "apt-get update/upgrade" die beste Wahl ist.
Ich würde die Patches für die von Ihnen ausgeführte Software überwachen und basierend auf den Korrekturen in diesen Versionen Entscheidungen darüber treffen, wann ein Upgrade durchgeführt werden soll.
Da Sie natürlich einen Testserver haben, testen Sie das Update immer, bevor Sie es anwenden.