你们在管理服务器上的系统时是不是也会定期执行 apt upgrade 或者 yum update 之类的命令保证服务器系统上的软件源和包都是最新的 避免系统和软件的漏洞影响服务器安全

2019 年 1 折买的三年阿里云服务器，到现在都还没更新过

系统级的更新还是不要，有过极其惨痛教训，centos yum update 后无法启动,原因不明，总之就是无法启动了，ssh vnc 都没法用， 还好数据库和代码都有每日备份

做完备份再更新

只打安全更新可以看看 unattended-upgrades

Linux 有 security update 这种东西吗？

服务器正常运行就可以了，摸都不要去摸一下，，

快照完更新比较好吧

别随便更新

我是更新的。前提是我自己管理着。几年没出过问题。

我 Ubuntu 每个星期更新一次，特别是安全性更新，我怕漏洞

不敢随便更新

我可能会在下次买服务器的时候选新版系统镜像，但绝对不会在已有的系统上升级系统，最多更新内核

deb 系可以设置 unattended-upgrades 的， 没事上去看看需不需要重启就行了

还可以订阅一下 debian-security-announce 的邮件列表

开自带更新但只启用 security channel

自带➡️自动

需要更新，尤其是安全更新，最好是自己订阅邮件列表，有了就去更新

为啥我要自动更新呢？很多年前遇到一起案例，隔壁专项组的一台服务器，好像是 CentOS 3 还是 4 来着，被重度入侵了。检查了一下，两件蠢事凑在了一起，一是 sshd 没禁用 PasswordAuthentication 二是从来没更新，正好 sshd 本身有个安全漏洞，导致用口令认证登录时可以精心构造数据直接认证成功……这两项只要有一项处理了就不会被裸破进去。虽然隔壁专项组的系统不归我管，但毕竟是同一个单位里的。这事对我的心态影响很大。再后来经我手的 Linux 服务器如无特殊理由一概开启自动更新（怕出兼容性问题的至少对 security channel 更新开启，如果实在怕，在 RH 系上至少对 critical 等级的 security channel 更新开启），一概在配好公钥认证后关闭口令认证。虽然有点 PTSD ，但总比莫名其妙被入侵了好。

如果团队结构完善，人员精力够，应该像有几楼说的那样，订阅邮件列表，有了安全更新，review 一下，有必要的再更，以免破坏某些“依赖”特定 bug 的业务系统代码。

但是很多传统单位的综合信息化人员是没精力这样做的。

1.肯定需要。

2.Linux 系统与环境的安全与升级，由运维去做。

3.Linux 系统中运行的用户代码的安全与升级，由代码的开发公司去做。

4.更简单的方法是，对服务器区域的入口，购买第七层（应用层）防火墙，比如入侵检测、WAF 这种，能分析 http 与 https 的具体流量内容。

而不是第 3 层像 iptables 或 firewall 那种。

然后做好配置与自动升级，关键是出事后可以由防火墙厂家担责。并且这些厂家也有专门团队去跟着 0day 并及时下发最新的补丁包。

5.做好等保，出事了有等保担一部分责。

不更新,更新要开变更会议,流程很麻烦

没问题绝对不更新

一般懒得维护的服务器会用 CoreOS+检测服务状态回滚版本 （自己的玩具 VPS 而不是涉及身家的生产环境）
要是生产环境应该可以上集群灰度更新+状态检测？实现跟随发行版更新的同时不一下炸掉生产环境？

只开安全更新

更新？？？？？？
干这行不是有句真理吗：又不是不能跑，你干嘛动它？

开发机直接弄了个计划任务每天自动更新，爽。

ubuntu-server 会自动打安全补丁

2014 年的集群服务器，CentOS 6.5 用到现在，不敢更新~

必须更，月度强制更新（安全补丁），IT 定的，哪怕服务挂了也要更……
你想想要是你家根证书发行商被黑了，那乐子就大了啊哈哈哈哈

你可以反着想想，如果没必要更新，为啥厂商要出这个补丁呢？

手头就有一台 CentOS 8 的 Gold version ，只要重启就掉盘，我接手的时候我 TMD 都惊呆了，这得多懒才不更新一下补掉这么显而易见的 bug ？结果现在倒好 CentOS 8 的更新都停了，现在这机器不能重启，重启后就得用另外的 CentOS 系统恢复盘恢复磁盘才能重启成功。

对于这样的机器，你问我要不要更新，我肯定是回答不更新的，只要不是我维护，怎么样都行。

每天执行一次，全年只有圣诞节那几天没有更新，平常工作日几乎都有。

没遇到这个 bug ，怀疑是引导扇区问题

这种问题确实没法解，不是不能解，是我犯不着花那么多精力去搞一个没有效益没有影响的问题。

更新固然有风险，但是这些风险是这世界上的所有更新的人都会遇到的，大家都会承受的风险摊到个人头上又有多少呢？更何况真的常用系统更新挂了都能上新闻好吗？但是你不更新，时间长了，那就是单单独独的自己的问题，你就是开 support ticket ，人家第一句都是不好意思，我们只支持最新版本。

看到这个帖子，立马去执行了一次更新

要是买 redhat 服务了，随便更新。。
要是没买。。我是不敢更新

不更新，一般是新建服务器迁移服务

建议不更新的人用下 freebsd ，freebsd12.3-release 出来后，freebsd12.2-release 给 3 个月升级时间

一直自动更新省心

不更新等着被挂马吗。。

我家里的服务器在 ubuntu 更新内核后重启会死机，即便是不重启在更新结束 24 小时后出现各种问题，然后重启就也没什么反应了（看 ttl 内容应该是已经完成 ubuntu 引导了），好在是有备份，恢复就行了。

至于安全问题，设置好防火墙的前提下不会有什么问题的

小白求问宝塔需要手动更新吗

需要

更新应该是有策略的, 肯定不能拿一台单点服务器莽啊.
比如出了心脏滴血漏洞难道也不升级吗.

2011 年的阿里云 centos6 一直用到现在
然后换了腾讯云，阿里云不用了

自己的服务器每天更新
公司的服务器基本不更新

还是要更新的，关键看你们运维（或者外部支持）的技术实力。
按道理要定期评估补丁，然后决定上不上。

周期性打安全补丁。

软件更新取决于是否有必要，因为版本越旧，就越经过时间检验，就越能掌握全面的情况。

理想情况下，做任何变动都要对软件包进行审计，以确保变动后符合预期，避免引入问题；但大多单位应该都没有这种条件。

kde neon 日更

这是我“Linux 一键装机脚本”里的一个函数，每台必跑

setup_auto_upgrade(){
 local file o m d r
 if [ "$distro" = debian ]; then
 sudo $pkg install -y unattended-upgrades ＃ In case not installed yet.
 file=/etc/apt/apt.conf.d/50unattended-upgrades
 ＃ ${distro_codename}-updates & ${distro_codename}-proposed-updates
 o='origin=Debian,codename=${distro_codename}.*-updates'
 m='Unattended-Upgrade::Mail '
 d='Unattended-Upgrade::Remove-Unused-Dependencies'
 ＃ Automatic-Reboot & Automatic-Reboot-WithUsers
 r='Unattended-Upgrade::Automatic-Reboot.*"\(false\|true\)"'

 ＃ Set mail to
 sudo sed -i "/$m/s:\"\":\"$user\":" $file
 ＃ Set Remove-Unused-Dependencies, Automatic-Reboot and Automatic-Reboot-WithUsers to true
 sudo sed -i "/$d\|$r/s:false:true:" $file
 ＃ Uncomment these lines
 sudo sed -i "/$o\|$m\|$d\|$r/s://::" $file

 ＃ Generate /etc/apt/apt.conf.d/20auto-upgrades
 sudo dpkg-reconfigure -plow unattended-upgrades
 fi

 if [ "$distro" = fedora ]; then
 sudo $pkg install -y dnf-automatic ＃ In case not installed yet.
 local file=/etc/dnf/automatic.conf
 sudo sed -i '/apply_updates/s/no/yes/' $file
 sudo systemctl enable --now dnf-automatic.timer postfix
 fi
}

这个脚步作用就是开启自动更新，时间就是用系统默认的，debian 6:00AM ，fedora 3:00PM 。每天更新，debian 的自动重启看情况。
没出过问题。而且以我的经验，如果更新后出问题，基本都不是更新的问题，而是项目不规范。
服务器我都用的 debian ，工作站都用的 fedora
而且 debian 我从来都是用 testing 的。

所有服务都跑在集群上，节点更新肯定不影响的，不过大多数时候集群自动伸缩新创建的节点就会是新版本的了

security patches must be upgraded

• Linux 不等于 CentOS
• 出门一定要锁门

还能跑我都不动...设置个定时重启...

云服务有安全问题一般都会发邮件提醒有安全问题一般都会更新,更新前先备份一下,出问题了能回滚

本地自己玩的 linux 都会更新, 虚拟机里的也会先备份一下

像公司内网用的 linux, 从来没用更新过, 因为在内网, 有安全漏洞也没啥影响, 万一更新出了问题 还给自己增加工作量

每周定时更新，如果自己处理不了最好找个专业的运维

我维护的代码服务器是想起来就更新，大概 1 个月一次。
线上的不清楚具体频率，应该还也是每月左右更新一次。

linux 更新可不仅仅是一月一次，而是随时有安全更新就要安装……

有空就更新，只更新全部下线服务的机器。

没 CVE 就不动，不过反正服务也跑在 docker 里，外面怎么样了无所谓了

疯狂作死行为

不敢。

同感。。。

gist.github.com/ihciah/3fa05d09955355cba67f89c53698be2f  显示 Gist 代码 
没开 unattened upgrade ，但搞了个 ansible 脚本一键升级所有我管理的机器。相比自动升级，万一升出严重问题立刻就能意识到并且修掉。

使用 apt 或 yum 更新到最新的不代表就修复漏洞了；系统本身的漏洞外人也没法搞你，通常容易出现问题的是 openssh,openssl,nginx,tomcat 这些；这些基础组件和应用，(默认情况下)你使用各大发行版命令更新通常也不会升级到最新版本，还是需要手动更新

安全补丁更新，其他略过，踩过好多次坑了

那些推荐更新的，不知道是不是没接触过生产环境。。不能瞎更新的，哪怕是安全补丁，也要根据情况来看怎么更，而不是无脑更新，更一个组件带崩整个系统的事不要太常见

有没有 security update 是看发行版的吧。

万一崩了你能背锅就行