Řešení 1:
Spouštím apt-get update -qq; apt-get upgrade -duyq denně. To zkontroluje aktualizace, ale neprovede je automaticky.
Poté mohu aktualizace spouštět ručně, zatímco se dívám, a mohu opravit vše, co by se mohlo pokazit.
Kromě bezpečnostních problémů s údržbou opraveného systému zjišťuji, že pokud to nechám příliš dlouho mezi opravami, skončím s celou hromadou balíčků které chtějí upgradovat, a to mě děsí mnohem víc než jen upgradovat jeden nebo dva každý týden nebo tak nějak. Proto mám tendenci spouštět aktualizace týdně, nebo pokud mají vysokou prioritu, denně. To má další výhodu v tom, že víte, který balíček rozbil váš systém (tj. pokud aktualizujete pouze několik najednou)
Vždy nejprve upgraduji méně kritické systémy. Mám také připravený „plán návratu“ pro případ, že se mi nepodaří opravit systém. (Vzhledem k tomu, že většina našich serverů je virtuálních, tento plán vrácení obvykle spočívá v pořízení snímku před upgradem, ke kterému se mohu v případě potřeby vrátit)
Jak již bylo řečeno, myslím, že upgrade něco pokazil jen jednou nebo dvakrát za poslední 4 roky, a to na vysoce přizpůsobeném systému - takže nemusíte být PŘÍLIŠ paranoidní :)
Řešení 2:
Kromě předchozích odpovědí - několik konkrétnějších věcí k Debianu:měli byste se přihlásit k odběru debian-security-announce a debian-announce a / nebo se podívat na stránku Debian Security.
Řešení 3:
Za předpokladu, že používáte stabilní verzi Debianu, bude většina záplat souviset se zabezpečením nebo chybou, což by mělo znamenat, že mezi verzemi žádného balíčku nebude příliš mnoho zásadních změn. Podle debian patch policy by záplaty měly být také nějakou dobu v testování, než byly správcem přesunuty do stabilní větve. Je zřejmé, že to nezastaví chyby při opravování, ale ve většině případů by jim to mělo zabránit.
Bylo by rozumné zajistit, aby byl váš testovací server aktualizován a všechny balíčky, které obsahují chyby ovlivňující vás a vaše servery, by měly být aktualizovány. Všechny balíčky, které obsahují bezpečnostní upozornění, by měly být aktualizovány, jakmile zjistíte, že je oprava stabilní.
Debian je obvykle velmi stabilní operační systém a ne takový, u kterého byste se měli přehnaně obávat poruch, ale vždy si před aktualizací přečtěte, co se bude aktualizovat, a dávejte pozor na vše, co se zdá divné. Používám VCS i na mém /etc/ dir, abych zajistil, že všechny změny konfiguračního souboru budou vidět pomocí příkazu 'git diff'.
Řešení 4:
Provedu zkušební provoz (nejprve), abych zjistil, co se bude aktualizovat. Někdy knihovny (pro tento příklad to nazvěme libfoo) změní své API, což naruší programy, které jsme sami napsali/nainstalovali. Pokud se aktualizuje nějaká kritická knihovna, vezmu si zdroj a pokusím se s ním před aktualizací přestavět naše věci.
Také zkontroluji, zda nepřecházíme na přechodnou verzi nějaké veřejné služby, tj. Apache atd. Raději bych zůstal rok pozadu a nesetkal se s náhodným rozbitím, pokud není aktualizace kritická.
Pokud jste správce systému, měli byste stahovat RSS kanály ze stránek jako Secunia, které by vám měly dát vědět s dostatečným předstihem, pokud vaše distribuce bude vydávat nějaké záplaty.
Nikdy, nikdy jen slepě neupgradujte / neaktualizujte. Bohužel, úkol vědět, co je rozbité, padá na vás, nikoli na vašeho správce balíčků distribuce, zvláště pokud vaše systémy podporují programátory.
Řešení 5:
Tam, kde pracuji, máme poměrně rozsáhlý proces, který zahrnuje používání softwaru zvaného PatchLink, který nás informuje o nejdůležitějších aktualizacích souvisejících se zabezpečením, a my je po testování aplikujeme na základě balíčku po balíčku. Máme však tisíce serverů.
Pokud máte pouze dva servery, proces by měl být mnohem jednodušší. I když si nemyslím, že udělat "apt-get update/upgrade" je vaše nejlepší sázka.
Sledoval bych záplaty pro software, který používáte, a rozhodoval bych se na základě oprav v těchto vydáních, kdy upgradovat.
Vzhledem k tomu, že máte testovací server, je samozřejmé, že aktualizaci vždy před použitím otestujte.