Nur Sicherheitsupdates ausreichend?

[user18]

Hallo,

ich habe das Paket unattended-upgrades auf einem Debian Linux Server installiert und darüber werden täglich die aktuellen Sicherheitsupdates installiert, z.B.:

Code: Alles auswählen

# /var/log/unattended-upgrades/unattended-upgrades-dpkg.log:
INFO erlaubte Ursprünge sind: ['origin=Debian,codename=stretch,label=Debian-Security']
INFO Pakete, von denen ein Upgrade durchgeführt wird: libmspack0 libxml-security-c17v5
INFO alle Upgrades installiert

Es sind noch weitere Updates verfügbar, die nicht im Bereich Debian-Security sind:

Code: Alles auswählen

# apt-get -s upgrade | grep -v "^Conf"
Paketlisten werden gelesen...
Abhängigkeitsbaum wird aufgebaut....
Statusinformationen werden eingelesen....
Paketaktualisierung (Upgrade) wird berechnet...
Die folgenden Pakete sind zurückgehalten worden:
  linux-image-amd64
Die folgenden Pakete werden aktualisiert (Upgrade):
  base-files ca-certificates discover dpkg file libdiscover2 libldap-2.4-2
  libldap-common libmagic-mgc libmagic1 libpam-systemd libsystemd0 libudev1
  libxapian30 libxerces-c3.1 shared-mime-info systemd systemd-sysv udev
19 aktualisiert, 0 neu installiert, 0 zu entfernen und 1 nicht aktualisiert.
Inst base-files [9.9+deb9u4] (9.9+deb9u5 Debian:9.5/stable [amd64])
Inst dpkg [1.18.24] (1.18.25 Debian:9.5/stable [amd64])
Inst systemd-sysv [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64])
Inst libpam-systemd [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64]) []
Inst libsystemd0 [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64]) [systemd:amd64 ]
Inst systemd [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64])
Inst udev [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64]) []
Inst libudev1 [232-25+deb9u3] (232-25+deb9u4 Debian:9.5/stable [amd64])
Inst libxapian30 [1.4.3-2] (1.4.3-2+deb9u1 Debian:9.5/stable [amd64])
Inst file [1:5.30-1+deb9u1] (1:5.30-1+deb9u2 Debian:9.5/stable [amd64]) []
Inst libmagic1 [1:5.30-1+deb9u1] (1:5.30-1+deb9u2 Debian:9.5/stable [amd64]) []
Inst libmagic-mgc [1:5.30-1+deb9u1] (1:5.30-1+deb9u2 Debian:9.5/stable [amd64])
Inst libldap-common [2.4.44+dfsg-5+deb9u1] (2.4.44+dfsg-5+deb9u2 Debian:9.5/stable [all])
Inst libldap-2.4-2 [2.4.44+dfsg-5+deb9u1] (2.4.44+dfsg-5+deb9u2 Debian:9.5/stable [amd64])
Inst ca-certificates [20161130+nmu1] (20161130+nmu1+deb9u1 Debian:9.5/stable [all])
Inst discover [2.1.2-7.1] (2.1.2-7.1+deb9u1 Debian:9.5/stable [amd64]) []
Inst libdiscover2 [2.1.2-7.1] (2.1.2-7.1+deb9u1 Debian:9.5/stable [amd64])
Inst libxerces-c3.1 [3.1.4+debian-2] (3.1.4+debian-2+deb9u1 Debian:9.5/stable [amd64])
Inst shared-mime-info [1.8-1] (1.8-1+deb9u1 Debian:9.5/stable [amd64])

Optimalerweise möchte ich mich mit dem System bis zum Release Ende von Debian 9 im Jahr 2020 nicht mehr beschäftigen müssen und nicht manuell Updates einspielen.

Reicht hier die die Nutzung von dem einspielen von nur Sicherheitsupdates über unattended-upgrades aus
oder sollte auch per apt-get upgrade die anderen Updates eingespielt werden?

[hikaru]

Reicht hier die die Nutzung von dem einspielen von nur Sicherheitsupdates über unattended-upgrades aus

Rein aus Debian-Paketsicht sollte das ausreichen, denn alle sicherheitsrelevanten Paketupdates sollten über das security-Repo kommen.

oder sollte auch per apt-get upgrade die anderen Updates eingespielt werden?

Das ist eine Abwägungsfrage. Wenn ich mir z.B. deine Liste der Pakete anschaue, dann könnte ich mir durchaus vorstellen, dass ein veraltetes ca-certificates irgendwann mal Probleme machen könnte, je nach Aufgabe des Servers.
Das ist aber zumindest aus Debians Sicht kein Sicherheitsproblem, weshalb das nicht über security geregelt wird.

Falls du generell Updates haben willst, dann kannst du das in der Konfiguration von unattended-upgrades einstellen und das sollte auch problemlos sein, sofern du keine Fremdquellen verwendest (wozu auch selbtgebaute Pakete gehören, insbesondere wenn sie ofizielle Debianpakete ersetzen).