Автообновления Linux: почему сервер моргает по утрам, а кластер теряет кворум

[ChillyVanilly]

ubuntu/debian не место на сервере, а не вот это всё

а обновы ставить руками )

[sh112]

Вполне вероятно, что так, ваши рекомендации?

[ChillyVanilly]

Увы, я должен был написать "ubuntu не место на сервере", но купился на ложь автора. А серверы с дебианом у меня немного есть (и да, описываемой фигни не замечал в 10-13), хотя в важных местах конечно oracle linux )

[bardak_roman]

В дебиан этого нет по умолчанию

[gerbert_MX]

первое спорно, второе согласен

обновы нужны только если сервис явно торчит в сеть и то закрываем все порты по максимуму и 99% проблем обойдет стороной

[sh112]

Тут тоже есть нюанс: закрытие внешнего контура не гарантирует безопасность. Все узлы должны быть настроены так, как будто они находятся во внешней сети. Так мы усложним жизнь злоумышленнику, который пробил первый контур, а себе дадим время на обнаружение его действий.

[smke]

О, бест практис подъехали!

[bloomeatt]

Интересно, не знал о таком, проверил на случайном сервере - в 6 утра действительно что то происходит.

+-150 серваков, за 2,5 года ни разу не заметил. Миновало как то.

[Heggi]

До Debian 12 такого не было? Или образа у хостеров уже почищены от этого. У меня на всех серверах нет файлика 20auto-upgrades. Все сервера старые, стартовали с Debian 10 или 11, сейчас проапгрейжены до 13.

[sh112]

А вот тут я оказался не прав, спасибо. На Debian есть механизм получения обновлений безопасности, но из коробки он не включен. Статью поправил

[Xelld]

А как вы предлагаете использовать PodDisruptionBudget для координации обновления хостов? Он не помешает вам отправить весь кластер в ребут одновременно.

[VenbergV]

Приводим 20auto-upgrades к виду:

APT::Periodic::Update-Package-Lists “0”;
APT::Periodic::Unattended-Upgrade “0”;

Запускаем обновления своим сценарием ansible для каждого хоста, с отдельной управляющей машины.
В сценарии еще и автопроверка работоспособности нужных сервисов после обновления каждого хоста.