Hoe automatische onbewaakte beveiligingsupdates op ubuntu 18.04 in te schakelen en in te stellen

Het regelmatig bijwerken van uw Ubuntu-systeem is een van de belangrijkste aspecten van de algehele systeembeveiliging. Als u de pakketten van uw besturingssysteem niet bijwerkt met de nieuwste beveiligingspatches, blijft uw machine kwetsbaar voor aanvallen.

In deze zelfstudie zullen we doornemen hoe u automatische onbeheerde updates op Ubuntu 18.04 kunt configureren. Dezelfde stappen zijn van toepassing op Ubuntu 16.04 en elke op Ubuntu gebaseerde distributie, inclusief Kubuntu, Linux Mint en Elementary OS.

voorwaarden

Zorg ervoor dat u bent aangemeld als een gebruiker met sudo-rechten voordat u doorgaat met deze zelfstudie.

Pakket voor upgrades zonder toezicht installeren

Het pakket voor unattended-upgrades wordt gebruikt om automatisch bijgewerkte pakketten te installeren. De kans is groot dat dit pakket al op uw Ubuntu-systeem is geïnstalleerd. Als dit niet het geval is, kunt u het pakket installeren door de volgende opdracht in uw terminal in te voeren:

sudo apt install unattended-upgrades

Nadat de installatie is voltooid, wordt de afsluitservice Onbeheerde upgrades ingeschakeld en automatisch gestart. U kunt het verifiëren door te typen:

systemctl status unattended-upgrades

● unattended-upgrades.service - Unattended Upgrades Shutdown Loaded: loaded (/lib/systemd/system/unattended-upgrades.service; enab Active: active (running) since Sun 2019-03-10 07:52:08 UTC; 2min 35s Docs: man:unattended-upgrade(8) CGroup: /system.slice/unattended-upgrades.service

Automatische updates zonder toezicht configureren

We kunnen de instellingen van het pakket voor unattended-upgrades configureren door het bestand /etc/apt/apt.conf.d/50unattended-upgrades bewerken. De standaardconfiguratie zou voor de meeste gebruikers moeten werken, maar u kunt het bestand openen en indien nodig wijzigingen aanbrengen.

Het Unattended Upgrades-pakket en kan worden geconfigureerd om alle pakketten bij te werken of alleen beveiligingsupdates. In het eerste gedeelte wordt bepaald welke typen pakketten automatisch worden bijgewerkt. Standaard worden alleen de beveiligingsupdates geïnstalleerd. Als u de updates van de andere repositories wilt inschakelen, kunt u de juiste repository uitschakelen door de dubbele schuine streep // aan het begin van de regel te verwijderen. Alles na // is een opmerking en wordt niet gelezen door het pakket.

/etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Allowed-Origins { "${distro_id}:${distro_codename}"; "${distro_id}:${distro_codename}-security"; // Extended Security Maintenance; doesn't necessarily exist for // every release and this system may not have it installed, but if // available, the policy for updates is such that unattended-upgrades // should also install from here by default. "${distro_id}ESM:${distro_codename}"; // "${distro_id}:${distro_codename}-updates"; // "${distro_id}:${distro_codename}-proposed"; // "${distro_id}:${distro_codename}-backports"; };

Als u om welke reden dan ook wilt voorkomen dat bepaalde pakketten automatisch worden bijgewerkt, voegt u deze eenvoudig toe aan de zwarte lijst van een pakket:

/etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Package-Blacklist { // "vim"; // "libc6"; // "libc6-dev"; // "libc6-i686"; };

Mogelijk wilt u ook een e-mail ontvangen als er om een ​​of andere reden een probleem is met de automatische update. Voer hiervoor de volgende twee regels uit en voer uw e-mailadres in. Zorg ervoor dat u een tool hebt die e-mails op uw systeem kan installeren, zoals mailx of postfix .

/etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Mail "[email protected]"; Unattended-Upgrade::MailOnlyOnError "true";

Automatische updates zonder toezicht inschakelen

Om automatisch bijgewerkt in te schakelen, moet u ervoor zorgen dat het apt-configuratiebestand /etc/apt/apt.conf.d/20auto-upgrades ten minste de volgende twee regels bevat, die standaard moeten worden opgenomen:

/etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1";

De bovenstaande configuratie werkt de pakketlijst bij en installeert elke dag beschikbare updates.

U kunt ook de volgende regel toevoegen die het lokale downloadarchief elke 7 dagen opschoont.

/etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::AutocleanInterval "7";

Een andere manier om automatische updates in / uit te schakelen, is door de volgende opdracht uit te voeren waarmee de /etc/apt/apt.conf.d/20auto-upgrades worden gewijzigd (of aangemaakt als deze niet bestaat).

sudo dpkg-reconfigure -plow unattended-upgrades

testen

Om te testen of de automatische upgrades werken, voert u een dry run uit:

sudo unattended-upgrades --dry-run --debug

De output zou er ongeveer zo uit moeten zien:

… pkgs that look like they should be upgraded: Fetched 0 B in 0s (0 B/s) fetch.run() result: 0 blacklist: whitelist: No packages found that can be upgraded unattended and no pending auto-removals

De geschiedenis van de automatische upgrades zonder toezicht wordt vastgelegd in het bestand /var/log/unattended-upgrades/unattended-upgrades.log .

Conclusie

In deze zelfstudie hebt u geleerd hoe u automatische onbeheerde updates configureert en uw systeem up-to-date houdt.

ubuntu apt beveiliging