Introducción
La actualización regular del sistema Ubuntu es uno de los aspectos más importantes de la seguridad general del sistema. Si no actualiza los paquetes de su sistema operativo con los últimos parches de seguridad, su sistema será vulnerable a ataques.
Si administra varios servidores Ubuntu, la actualización manual de los paquetes del sistema puede llevar mucho tiempo. Incluso si administra una sola instalación de Ubuntu, a veces puede pasar por alto una actualización importante.
En este tutorial, veremos cómo configurar las actualizaciones de seguridad desatendidas en Ubuntu 18.04. Los mismos pasos se aplican para Ubuntu 16.04 y cualquier distribución basada en Ubuntu, incluidos Kubuntu, Linux Mint y Elementary OS.
Prerrequisitos
Antes de continuar con este tutorial, asegúrese de haber iniciado sesión como usuario con privilegios de sudo.
Instale el paquete de actualizaciones desatendidas
El paquete de actualizaciones desatendidas se utiliza para instalar automáticamente paquetes actualizados. Es probable que este paquete ya esté instalado en tu sistema Ubuntu, de lo contrario puedes instalarlo con el siguiente comando en tu terminal:
sudo apt install unattended-upgrades
Una vez finalizada la instalación, se habilitará el servicio de actualizaciones automáticas y se iniciará automáticamente. Puede verificar esto escribiendo:
systemctl status unattended-upgrades
● unattended-upgrades.service - Unattended Upgrades Shutdown
Loaded: loaded (/lib/systemd/system/unattended-upgrades.service; enab
Active: active (running) since Sun 2019-09-03 11:32:09 UTC; 1min 53s
Docs: man:unattended-upgrade(8)
CGroup: /system.slice/unattended-upgrades.service
Configurar actualizaciones automáticas
Podemos configurar los ajustes del paquete de actualizaciones desatendidas editando el archivo /etc/apt/apt.conf.d/50unattended-upgrades. La configuración predeterminada debería funcionar bien para la mayoría de los usuarios, pero puede abrir el archivo y realizar los cambios necesarios.
El paquete de actualizaciones desatendidas se puede configurar para actualizar todos los paquetes o solo las actualizaciones de seguridad. La primera sección define qué tipos de paquetes se actualizarán automáticamente. De forma predeterminada, solo instalará actualizaciones de seguridad, si desea habilitar las actualizaciones de otros repositorios, puede descomentar el repositorio correspondiente eliminando la barra doble // del principio de la línea. Todo lo que sigue a // es un comentario y el paquete no lo lee.
Abra el siguiente archivo:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
//Automatically upgrade packages from these (origin:archive) pairs
////Note that in Ubuntu security updates may pull in new dependencies
//from non-security sources (eg chromium). By allowing the release
//pocket these get automatically pulled in.
Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}";
"${distro_id}:${distro_codename}-security";
//Extended Security Maintenance; doesn't necessarily exist for
//every release and this system may not have it installed, but if
//available, the policy for updates is such that unattended-upgrades
//should also install from here by default.
"${distro_id}ESM:${distro_codename}";
//"${distro_id}:${distro_codename}-updates";
//"${distro_id}:${distro_codename}-proposed";
//"${distro_id}:${distro_codename}-backports";
};...
Si por alguna razón desea deshabilitar la actualización automática de ciertos paquetes, simplemente agréguelo a la Lista negra de paquetes:
//List of packages to not update (regexp are supported)
Unattended-Upgrade::Package-Blacklist {
//"vim";
//"libc6";
//"libc6-dev";
//"libc6-i686";
};...
Es posible que también desee recibir un correo electrónico si por alguna razón hay un problema con la actualización automática. Para hacer esto, descomente las siguientes dos líneas e ingrese su dirección de correo electrónico. Asegúrese de tener una herramienta que pueda enviar correos electrónicos instalada en su sistema, como mailx o postfix.
Unattended-Upgrade::Mail "[email protected]";
Unattended-Upgrade::MailOnlyOnError "true";
Habilitar actualizaciones automáticas
Para habilitar la actualización automática, debe asegurarse de que el archivo de configuración apt /etc/apt/apt.conf.d/20auto-upgrades contenga al menos las dos líneas siguientes, que deben incluirse de forma predeterminada:
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";
La configuración anterior actualiza la lista de paquetes e instala las actualizaciones disponibles todos los días.
También puede agregar la siguiente línea que limpiará el archivo de descarga local cada 7 días.
APT::Periodic::AutocleanInterval "7";
Otra forma de habilitar /deshabilitar las actualizaciones automáticas es ejecutando el siguiente comando que modificará (o creará si no existe) el archivo /etc/apt/apt.conf.d/20auto-upgrades.
sudo dpkg-reconfigure -plow unattended-upgrades
Para comprobar si las actualizaciones automáticas funcionan correctamente, siga estos pasos:
sudo unattended-upgrades --dry-run --debug
La salida debería verse así:
...
pkgs that look like they should be upgraded:
Fetched 0 B in 0s (0 B/s)
fetch.run() result: 0
blacklist: []
whitelist: []
No packages found that can be upgraded unattended and no pending auto-removals
El historial de actualizaciones automáticas se registra en el archivo /var/log/unattended-upgrades/unattended-upgrades.log.
Conclusión
En este tutorial, hemos visto cómo configurar actualizaciones automáticas desatendidas y mantener el sistema actualizado.