Soluzione 1:
eseguo apt-get update -qq; apt-get upgrade -duyq quotidiano. Verificherà la presenza di aggiornamenti, ma non li eseguirà automaticamente.
Quindi posso eseguire gli aggiornamenti manualmente mentre sto guardando e posso correggere tutto ciò che potrebbe andare storto.
Oltre ai problemi di sicurezza legati alla manutenzione di un sistema con patch, trovo che se lascio passare troppo tempo tra una patch e l'altra, mi ritrovo con un sacco di pacchetti che vogliono essere aggiornati e questo mi spaventa molto di più del semplice aggiornamento di uno o due ogni settimana circa. Pertanto tendo a eseguire i miei aggiornamenti settimanalmente o, se sono ad alta priorità, quotidianamente. Questo ha l'ulteriore vantaggio di sapere quale pacchetto ha danneggiato il tuo sistema (ad es. se stai aggiornando solo un paio alla volta)
Aggiorno sempre prima i sistemi meno critici. Ho anche un "piano di rollback" in atto nel caso in cui non riesca a riparare il sistema. (poiché la maggior parte dei nostri server è virtuale, questo piano di rollback di solito consiste nel prendere un'istantanea prima dell'aggiornamento a cui posso tornare se necessario)
Detto questo, penso che un aggiornamento abbia danneggiato qualcosa solo una o due volte negli ultimi 4 anni, e questo su un sistema altamente personalizzato, quindi non devi essere TROPPO paranoico :)
Soluzione 2:
Oltre alle risposte precedenti, un paio di cose più specifiche su Debian:dovresti iscriverti a debian-security-announce e debian-announce e/o controllare la pagina Debian Security.
Soluzione 3:
Supponendo che tu stia eseguendo il rilascio stabile di Debian, la maggior parte delle patch sarà correlata alla sicurezza o ai bug, il che dovrebbe significare che non ci saranno troppi cambiamenti importanti tra le versioni di un dato pacchetto. Secondo la politica delle patch di Debian, anche le patch avrebbero dovuto essere in testing per un po' di tempo prima di essere spostate nel ramo stable dal manutentore. Ovviamente questo non fermerà le rotture durante l'applicazione delle patch, ma dovrebbe prevenirle nella maggior parte dei casi.
Sarebbe prudente assicurarsi che il tuo server di test sia aggiornato e che tutti i pacchetti che hanno bug che interessano te e i tuoi server dovrebbero essere mantenuti aggiornati. Tutti i pacchetti che hanno avvisi di sicurezza contro di loro dovrebbero essere aggiornati non appena sai che la patch è stabile.
Debian è di solito un sistema operativo molto stabile e non uno su cui dovresti preoccuparti eccessivamente delle rotture, tuttavia leggi sempre cosa verrà aggiornato prima che venga aggiornato e tieni d'occhio tutto ciò che sembra strano. Uso VCS anche sulla mia directory /etc/ per assicurarmi che qualsiasi modifica al file di configurazione possa essere vista con un comando 'git diff'.
Soluzione 4:
Faccio una prova a secco (prima) per vedere cosa verrà aggiornato. A volte, le librerie (chiamiamolo libfoo per questo esempio) cambiano la loro API, il che interrompe i programmi che abbiamo scritto/installato noi stessi. Se una libreria critica viene aggiornata, prendo la fonte e provo a ricostruire le nostre cose prima dell'aggiornamento.
Controllo anche per vedere che non stiamo passando a una versione intermedia di qualche servizio pubblico, ad esempio apache, ecc. Preferirei rimanere indietro di un anno e non incontrare rotture casuali, a meno che l'aggiornamento non sia critico.
Se sei un amministratore di sistema, dovresti estrarre i feed RSS da siti come Secunia, che dovrebbero farti sapere in anticipo se la tua distribuzione distribuirà alcune patch.
Non aggiornare / aggiornare mai e poi mai alla cieca. Sfortunatamente, il compito di sapere cosa non funziona ricade su di te, non sul gestore dei pacchetti della tua distribuzione, soprattutto se i tuoi sistemi supportano i programmatori.
Soluzione 5:
Dove lavoro abbiamo un processo piuttosto esteso che prevede l'utilizzo di un software chiamato PatchLink per notificarci i più importanti aggiornamenti relativi alla sicurezza e li applichiamo dopo il test, pacchetto per pacchetto. Tuttavia, abbiamo migliaia di server.
Se hai solo due server, il processo dovrebbe essere molto più semplice. Anche se non penso che fare un "apt-get update/upgrade" sia la soluzione migliore.
Monitorerei le patch per il software in esecuzione e prenderei decisioni in base alle correzioni in quelle versioni su quando eseguire l'aggiornamento.
Dato che hai un server di prova, ovviamente, prova sempre gli aggiornamenti prima di applicarli.