Введение
Регулярное обновление системы Ubuntu является одним из наиболее важных аспектов общей безопасности системы. Если вы не обновите пакеты операционной системы с помощью последних исправлений безопасности, ваша система будет уязвима для атак.
Если вы управляете несколькими серверами Ubuntu, обновление системных пакетов вручную может занять много времени. Даже если вы управляете одной установкой Ubuntu, иногда вы можете не заметить серьезное обновление.
В этом руководстве мы увидим, как настроить автоматические обновления безопасности в Ubuntu 18.04. Те же шаги применимы к Ubuntu 16.04 и любому дистрибутиву на основе Ubuntu, включая Kubuntu, Linux Mint и Elementary OS.
Предпосылки
Прежде чем продолжить работу с этим учебным пособием, убедитесь, что вы вошли в систему как пользователь с привилегиями sudo.
Установите пакет автоматических обновлений
Пакет автоматических обновлений используется для автоматической установки обновленных пакетов. Вполне вероятно, что этот пакет уже установлен в вашей системе Ubuntu, в противном случае вы можете установить его с помощью следующей команды в своем терминале:
sudo apt install unattended-upgradesПосле завершения установки служба автоматического обновления будет включена и запустится автоматически. Вы можете убедиться в этом, набрав:
systemctl status unattended-upgrades● unattended-upgrades.service - Unattended Upgrades Shutdown
Loaded: loaded (/lib/systemd/system/unattended-upgrades.service; enab
Active: active (running) since Sun 2019-09-03 11:32:09 UTC; 1min 53s
Docs: man:unattended-upgrade(8)
CGroup: /system.slice/unattended-upgrades.serviceНастроить автоматические обновления
Мы можем настроить параметры пакета автоматических обновлений, отредактировав файл /etc/apt/apt.conf.d/50unattended-upgrades. Конфигурация по умолчанию должна работать нормально для большинства пользователей, но вы можете открыть файл и внести необходимые изменения.
Пакет автоматических обновлений можно настроить для обновления всех пакетов или только обновлений безопасности. Первый раздел определяет, какие типы пакетов будут автоматически обновляться. По умолчанию он будет устанавливать только обновления безопасности, если вы хотите включить обновления из других репозиториев, вы можете раскомментировать соответствующий репозиторий, удалив двойную косую черту // в начале строки. Все, что следует за //, является комментарием и не читается пакетом.
Откройте следующий файл:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades//Automatically upgrade packages from these (origin:archive) pairs
////Note that in Ubuntu security updates may pull in new dependencies
//from non-security sources (eg chromium). By allowing the release
//pocket these get automatically pulled in.
Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}";
"${distro_id}:${distro_codename}-security";
//Extended Security Maintenance; doesn't necessarily exist for
//every release and this system may not have it installed, but if
//available, the policy for updates is such that unattended-upgrades
//should also install from here by default.
"${distro_id}ESM:${distro_codename}";
//"${distro_id}:${distro_codename}-updates";
//"${distro_id}:${distro_codename}-proposed";
//"${distro_id}:${distro_codename}-backports";
};...Если по какой-либо причине вы хотите отключить автоматическое обновление определенных пакетов, просто добавьте их в черный список пакетов:
//List of packages to not update (regexp are supported)
Unattended-Upgrade::Package-Blacklist {
//"vim";
//"libc6";
//"libc6-dev";
//"libc6-i686";
};...Вы также можете получить электронное письмо, если по какой-то причине возникла проблема с автоматическим обновлением. Для этого раскомментируйте следующие две строки и введите свой адрес электронной почты. Убедитесь, что в вашей системе установлен инструмент для отправки электронных писем, например mailx или postfix.
Unattended-Upgrade::Mail "[email protected]";
Unattended-Upgrade::MailOnlyOnError "true";Включить автоматические обновления
Чтобы включить автоматическое обновление, необходимо убедиться, что файл конфигурации apt /etc/apt/apt.conf.d/20auto-upgrades содержит как минимум следующие две строки, которые должны быть включены по умолчанию:
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";Предыдущая конфигурация обновляет список пакетов и устанавливает доступные обновления каждый день.
Вы также можете добавить следующую строку, которая будет очищать локальный архив загрузки каждые 7 дней.
APT::Periodic::AutocleanInterval "7";Другой способ включить/отключить автоматические обновления — запустить следующую команду, которая изменит (или создаст, если он не существует) файл /etc/apt/apt.conf.d/20auto-upgrades.
sudo dpkg-reconfigure -plow unattended-upgradesЧтобы проверить, правильно ли работают автоматические обновления, выполните следующие действия:
sudo unattended-upgrades --dry-run --debugВывод должен выглядеть так:
...
pkgs that look like they should be upgraded:
Fetched 0 B in 0s (0 B/s)
fetch.run() result: 0
blacklist: []
whitelist: []
No packages found that can be upgraded unattended and no pending auto-removalsИстория автоматических обновлений записывается в файл /var/log/unattended-upgrades/unattended-upgrades.log.
Вывод
В этом руководстве мы увидели, как настроить автоматические автоматические обновления и поддерживать систему в актуальном состоянии.
