mir geht diese Updaterrei ziemlich auf den Keks und da bahnt sich ja schon das nächste Update an, DSA-777 oder so, das wo man die privaten SSH-Schlüssel der anderen Nutzer abfischen kann.
Ich würde vorschlagen per Ansible auf allen Maschinen einen cronjob einzurichten, der alle vier Stunden apt-get update && apt-get dist-upgrade -y ausführt.
Wir haben Debian, Debian ist extrem stabil, sodass ich da bzgl. automatischer Updates keine Bedenken habe und vier Stunden liegt hoffentlich unter der Zeit, in der heftige Exploits großflächig ausgerollt werden. Dann könnte man eventuell das Skript noch so erweitern, dass bei einem Kernelupdate zu einem zufäligen Zeitpunkt innerhalb der nächsten 120 min neu gestartet wird. Zufällig, damit sich nicht alle gleichzeitig wegschalten.
Ich bin dagegen. Best practice das nicht zu tun, da updates auch mal was kaputtmachen.
Eher einfach mal auf die Advisories schauen, 80% davon betreffen uns nämlich nicht. So machen wir das zumindest bei uns in der Produktion: Probleme die uns nicht betreffen werden nicht per Hotfix eingespielt sondern irgendwann bei der Wartung.
Und wenn es schon automatisch sein soll, dann bitte mit einer Preprod Kiste testen bitte (oder halt snapshost erstellen)
So wie greyworm-1 gerade aussieht halte ich davon ggf. auch nichts. Zumindest nicht wenn niemand auf die Ergebnisse schaut und mal prüft ob da nicht ggf. Fehler aufgelaufen sind.