Jak povolit a nastavit automatické bezobslužné aktualizace zabezpečení na Ubuntu 18.04

Pravidelná aktualizace systému Ubuntu je jedním z nejdůležitějších aspektů celkového zabezpečení systému. Pokud neaktualizujete balíčky operačního systému nejnovějšími opravami zabezpečení, necháváte počítač náchylný k útokům.

V tomto tutoriálu si ukážeme, jak nakonfigurovat automatické bezobslužné aktualizace na Ubuntu 18.04. Stejné kroky platí pro Ubuntu 16.04 a jakékoli distribuce založené na Ubuntu, včetně Kubuntu, Linux Mint a Elementary OS.

Předpoklady

Před pokračováním v tomto kurzu se ujistěte, že jste přihlášeni jako uživatel s právy sudo.

Instalace balíčku bezobslužné aktualizace

Balíček unattended-upgrades se používá k automatické instalaci aktualizovaných balíčků. Je pravděpodobné, že tento balíček je již nainstalován ve vašem systému Ubuntu, pokud ne, můžete jej nainstalovat zadáním následujícího příkazu do terminálu:

sudo apt install unattended-upgrades

Po dokončení instalace bude služba bezobslužného upgradu aktivována a automaticky spuštěna. Můžete to ověřit zadáním:

systemctl status unattended-upgrades

● unattended-upgrades.service - Unattended Upgrades Shutdown Loaded: loaded (/lib/systemd/system/unattended-upgrades.service; enab Active: active (running) since Sun 2019-03-10 07:52:08 UTC; 2min 35s Docs: man:unattended-upgrade(8) CGroup: /system.slice/unattended-upgrades.service

Konfigurace automatických aktualizací bez dozoru

Můžeme nakonfigurovat nastavení balíčku unattended-upgrades úpravou souboru /etc/apt/apt.conf.d/50unattended-upgrades . Výchozí konfigurace by měla fungovat pro většinu uživatelů, ale můžete soubor otevřít a podle potřeby provést změny.

Balíček bezobslužných upgradů lze nakonfigurovat tak, aby aktualizoval všechny balíčky nebo jen aktualizace zabezpečení. První část definuje, jaké typy balíčků budou automaticky aktualizovány. Ve výchozím nastavení se nainstalují pouze aktualizace zabezpečení, pokud chcete povolit aktualizace z jiných úložišť, můžete zrušit uvolnění příslušného úložiště odstraněním dvojitého lomítka // ze začátku řádku. Všechno za // je komentář a není přečteno v balíčku.

/etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Allowed-Origins { "${distro_id}:${distro_codename}"; "${distro_id}:${distro_codename}-security"; // Extended Security Maintenance; doesn't necessarily exist for // every release and this system may not have it installed, but if // available, the policy for updates is such that unattended-upgrades // should also install from here by default. "${distro_id}ESM:${distro_codename}"; // "${distro_id}:${distro_codename}-updates"; // "${distro_id}:${distro_codename}-proposed"; // "${distro_id}:${distro_codename}-backports"; };

Pokud z nějakého důvodu chcete zakázat automatickou aktualizaci určitých balíčků, jednoduše jej přidejte do černé listiny balíčku:

/etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Package-Blacklist { // "vim"; // "libc6"; // "libc6-dev"; // "libc6-i686"; };

Možná budete chtít obdržet e-mail, pokud z nějakého důvodu dojde k problému s automatickou aktualizací. Chcete-li to provést, odkomentujte následující dva řádky a zadejte svou e-mailovou adresu. Ujistěte se, že máte v systému nainstalovaný nástroj, který umožňuje odesílání e-mailů, například mailx nebo postfix .

/etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Mail "[email protected]"; Unattended-Upgrade::MailOnlyOnError "true";

Povolení automatických aktualizací bez dozoru

Chcete-li povolit automatickou aktualizaci, musíte zajistit, aby konfigurační soubor apt /etc/apt/apt.conf.d/20auto-upgrades obsahoval alespoň následující dva řádky, které by měly být standardně zahrnuty:

/etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1";

Výše uvedená konfigurace aktualizuje seznam balíčků a instaluje dostupné aktualizace každý den.

Můžete také přidat následující řádek, který vyčistí místní archiv stahování každých 7 dní.

/etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::AutocleanInterval "7";

Dalším způsobem, jak povolit / zakázat automatické aktualizace, je spuštění následujícího příkazu, který upraví (nebo vytvoří, pokud neexistuje) /etc/apt/apt.conf.d/20auto-upgrades .

sudo dpkg-reconfigure -plow unattended-upgrades

Testování

Chcete-li otestovat, zda funguje automatická aktualizace, proveďte suchou jízdu:

sudo unattended-upgrades --dry-run --debug

Výstup by měl vypadat asi takto:

… pkgs that look like they should be upgraded: Fetched 0 B in 0s (0 B/s) fetch.run() result: 0 blacklist: whitelist: No packages found that can be upgraded unattended and no pending auto-removals

Historie automatických bezobslužných upgradů je zaznamenána v souboru /var/log/unattended-upgrades/unattended-upgrades.log .

Závěr

V tomto tutoriálu jste se naučili, jak konfigurovat automatické bezobslužné aktualizace a udržovat váš systém aktuální.

ubuntu apt security