Solución 1:
Ejecuto apt-get update -qq; apt-get upgrade -duyq diariamente. Esto buscará actualizaciones, pero no las hará automáticamente.
Luego, puedo ejecutar las actualizaciones manualmente mientras miro y puedo corregir cualquier cosa que pueda salir mal.
Además de las preocupaciones de seguridad de mantener un sistema parcheado, encuentro que si lo dejo demasiado tiempo entre parches, acabo con un montón de paquetes que quieren ser actualizados, y eso me asusta mucho más que solo actualizar uno o dos cada semana más o menos. Por lo tanto, tiendo a ejecutar mis actualizaciones semanalmente o, si son de alta prioridad, diariamente. Esto tiene la ventaja adicional de saber qué paquete rompió su sistema (es decir, si solo está actualizando un par a la vez)
Siempre actualizo primero los sistemas menos críticos. También tengo un "plan de reversión" en caso de que no pueda arreglar el sistema. (dado que la mayoría de nuestros servidores son virtuales, este plan de reversión generalmente consiste en tomar una instantánea antes de la actualización a la que puedo volver si es necesario)
Dicho esto, creo que una actualización ha roto algo solo una o dos veces en los últimos 4 años, y eso fue en un sistema altamente personalizado, así que no tienes que ser DEMASIADO paranoico :)
Solución 2:
Además de las respuestas anteriores, un par de cosas más específicas de Debian:debe suscribirse a debian-security-announce y debian-announce y/o consultar la página de seguridad de Debian.
Solución 3:
Suponiendo que está ejecutando la versión estable de Debian, la mayoría de los parches estarán relacionados con la seguridad o con errores, lo que debería significar que no habrá demasiados cambios importantes entre las versiones de un paquete determinado. De acuerdo con la política de parches de Debian, los parches también deberían haber estado en prueba durante algún tiempo antes de que el mantenedor los trasladara a la rama estable. Obviamente, esto no detendrá las roturas al reparar, pero debería evitarlas en la mayoría de los casos.
Sería prudente asegurarse de que su servidor de prueba se mantenga actualizado y cualquier paquete que tenga errores que lo afecten a usted y a sus servidores debe mantenerse actualizado. Todos los paquetes que tienen avisos de seguridad contra ellos deben actualizarse tan pronto como sepa que el parche es estable.
Debian suele ser un sistema operativo muy estable y no debería preocuparse demasiado por las roturas; sin embargo, siempre lea lo que se actualizará antes de que se actualice y esté atento a cualquier cosa que parezca extraña. También uso VCS en mi directorio /etc/ para asegurarme de que cualquier cambio en el archivo de configuración se pueda ver con un comando 'git diff'.
Solución 4:
Hago un simulacro (primero) para ver qué se va a actualizar. A veces, las bibliotecas (llamémosla libfoo para este ejemplo) cambian su API, lo que rompe los programas que escribimos/instalamos nosotros mismos. Si se actualiza alguna biblioteca crítica, tomo la fuente y trato de reconstruir nuestro material antes de actualizar.
También verifico que no estemos saltando a una versión intermedia de algún servicio público, es decir, apache, etc. Prefiero quedarme un año atrás y no encontrar fallas aleatorias, a menos que la actualización sea crítica.
Si es un administrador de sistemas, debería obtener fuentes RSS de sitios como Secunia, lo que debería informarle con anticipación si su distribución va a implementar algunos parches.
Nunca, nunca simplemente actualice / actualice a ciegas. Desafortunadamente, la tarea de saber qué está dañado recae en usted, no en el administrador de paquetes de su distribución, especialmente si sus sistemas admiten programadores.
Solución 5:
Donde trabajo, tenemos un proceso bastante extenso que involucra el uso de un software llamado PatchLink para notificarnos las actualizaciones más importantes relacionadas con la seguridad, y las aplicamos después de las pruebas, paquete por paquete. Sin embargo, tenemos miles de servidores.
Si solo tiene dos servidores, el proceso debería ser mucho más simple. Aunque no creo que hacer una "actualización/actualización de apt-get" sea su mejor opción.
Supervisaría los parches para el software que está ejecutando y tomaría decisiones basadas en los arreglos en esas versiones sobre cuándo actualizar.
Dado que tiene un servidor de prueba, obviamente, siempre pruebe la actualización antes de aplicarla.