Linux 服务器需要每个月更新系统吗

2019 年 1 折买的三年阿里云服务器，到现在都还没更新过

系统级的更新还是不要，有过极其惨痛教训，centos yum update 后无法启动,原因不明，总之就是无法启动了，ssh vnc 都没法用， 还好数据库和代码都有每日备份

做完备份再更新

只打安全更新可以看看 unattended-upgrades

Linux 有 security update 这种东西吗？

服务器正常运行就可以了，摸都不要去摸一下，，

快照完更新比较好吧

别随便更新

我是更新的。前提是我自己管理着。几年没出过问题。

我 Ubuntu 每个星期更新一次，特别是安全性更新，我怕漏洞

不敢随便更新

我可能会在下次买服务器的时候选新版系统镜像，但绝对不会在已有的系统上升级系统，最多更新内核

deb 系可以设置 unattended-upgrades 的， 没事上去看看需不需要重启就行了

还可以订阅一下 debian-security-announce 的邮件列表

开自带更新但只启用 security channel

自带➡️自动

需要更新，尤其是安全更新，最好是自己订阅邮件列表，有了就去更新

为啥我要自动更新呢？很多年前遇到一起案例，隔壁专项组的一台服务器，好像是 CentOS 3 还是 4 来着，被重度入侵了。检查了一下，两件蠢事凑在了一起，一是 sshd 没禁用 PasswordAuthentication 二是从来没更新，正好 sshd 本身有个安全漏洞，导致用口令认证登录时可以精心构造数据直接认证成功……这两项只要有一项处理了就不会被裸破进去。虽然隔壁专项组的系统不归我管，但毕竟是同一个单位里的。这事对我的心态影响很大。再后来经我手的 Linux 服务器如无特殊理由一概开启自动更新（怕出兼容性问题的至少对 security channel 更新开启，如果实在怕，在 RH 系上至少对 critical 等级的 security channel 更新开启），一概在配好公钥认证后关闭口令认证。虽然有点 PTSD ，但总比莫名其妙被入侵了好。

如果团队结构完善，人员精力够，应该像有几楼说的那样，订阅邮件列表，有了安全更新，review 一下，有必要的再更，以免破坏某些“依赖”特定 bug 的业务系统代码。

但是很多传统单位的综合信息化人员是没精力这样做的。

1.肯定需要。

2.Linux 系统与环境的安全与升级，由运维去做。

3.Linux 系统中运行的用户代码的安全与升级，由代码的开发公司去做。

4.更简单的方法是，对服务器区域的入口，购买第七层（应用层）防火墙，比如入侵检测、WAF 这种，能分析 http 与 https 的具体流量内容。

而不是第 3 层像 iptables 或 firewall 那种。

然后做好配置与自动升级，关键是出事后可以由防火墙厂家担责。并且这些厂家也有专门团队去跟着 0day 并及时下发最新的补丁包。

5.做好等保，出事了有等保担一部分责。

不更新,更新要开变更会议,流程很麻烦