[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:44198] Re: cron-aptでセキュリティ自動アップデート



えとーです。
全文引用を付けるのはちょっと好みじゃないです。

On Sun, 24 Jul 2005 17:05:18 +0900
Yuki SHIMAZU <y.shimazu@xxxxxxxxx> wrote:

> 島津です。
> 
> アドバイスいただきありがとうございます。
> なるほど、了解いたしました。
> 
> アドバイスを踏まえますと、
> 
>  ・/etc/apt/sources.list にはセキュリティ関連以外はコメントアウト
>  ・dist-upgrade を使わず、upgrade を使用
> 
> となり、下記のようにまとめられるかと思いますが、
> そのような理解でよろしいですか?

セキュリティの修正がほどこされたものが、他のアプリと衝突した
場合などに upgrade では修正が適用されないことが考えられます。

> 関連質問ですが、参考にしたあるページでは
> セキュリティ関連以外のアップデートを自動でかけるのはよくない、
> という趣旨の説明がありましたが、これは
> 
> > セキュリティ以外でも重要なバグのアップグレードがかかることは
> > あります。
> 
> というところに関連するかと思いますが、
> 重要なバグがFIXされるのでしたら自動で修正されたほうが
> よい気がするのですが、ほかに悪影響がでるなどの懸念がある、
> ということでしょうか?

重要なバグというのは正常に機能しないほどのバグなどです。
正常に機能してしまうと、うまく動かなくなるようなアプリケーションを
利用していた場合などには問題が起きることが考えられます。

細かい定義はどっかのドキュメントにはあったと思うんですが
まじめに検索していないので、そちらで探してみて、読んでみるといいと
思います。

で、以下私見です

もとめる可用性のレベルによって左右されるとは思いますが。

個人的にはセキュリティのアップデートも自動でかけれるべきではない
と思っています。
セキュリティの修正とはいえども、変更には変りがないので現在動かして
いるもので問題が出ることは当然ありえます、仕事などでしたら、
きちんと検証してから上げるべきです。

マシンかサーバアプリケーションを停止し検証を行なってから修正を
適用し起動し直す。

DNSサーバの場合は BIND と djbdns を切り替えて使うなどして、
その間に検証を行ってから修正を適用する。

サーバで使用している機能と脆弱情報を比較し問題がないのであれば、
検証を行なってから修正を適用する。

などが考えられます。

あとは、脆弱性が知られていない状態で侵入などが起きていないか
検査する必要などもあります。

もちろんコストとの兼ね合いですので、停止してしまうことがあっても
問題のないマシンやサーバに関しては自動アップデートでもよいかと
思います。