Az automatikus felügyelet nélküli biztonsági frissítések engedélyezése és beállítása az ubuntu 18.04-en

Az Ubuntu rendszerének rendszeres frissítése az általános rendszerbiztonság egyik legfontosabb szempontja. Ha nem frissíti az operációs rendszer csomagjait a legújabb biztonsági javításokkal, akkor kiszolgáltatottá teheti gépeit a támadásokkal szemben.

Ebben az oktatóprogramban bemutatjuk, hogyan lehet az Ubuntu 18.04 automatikus felügyelet nélküli frissítéseit konfigurálni. Ugyanezek a lépések vonatkoznak az Ubuntu 16.04-re és minden Ubuntu-alapú disztribúcióra, beleértve a Kubuntu, a Linux Mint és az Elementary OS rendszert.

Előfeltételek

Mielőtt folytatná ezt az oktatóprogramot, győződjön meg arról, hogy be van jelentkezve mint sudo jogosultságokkal rendelkező felhasználó.

Felügyelet nélküli frissítések csomag telepítése

A unattended-upgrades csomag automatikusan telepíti a frissített csomagokat. Valószínű, hogy ez a csomag már telepítve van az Ubuntu rendszerére, ha nem, akkor a következő parancs beírásával telepítheti a csomagot:

sudo apt install unattended-upgrades

A telepítés befejezése után a felügyelet nélküli frissítések leállítása szolgáltatás engedélyezve lesz és automatikusan elindul. Ezt ellenőrizheti a következő gépeléssel:

systemctl status unattended-upgrades

● unattended-upgrades.service - Unattended Upgrades Shutdown Loaded: loaded (/lib/systemd/system/unattended-upgrades.service; enab Active: active (running) since Sun 2019-03-10 07:52:08 UTC; 2min 35s Docs: man:unattended-upgrade(8) CGroup: /system.slice/unattended-upgrades.service

Felügyelet nélküli automatikus frissítések konfigurálása

A unattended-upgrades csomag beállításait az /etc/apt/apt.conf.d/50unattended-upgrades fájl szerkesztésével konfigurálhatjuk. Az alapértelmezett konfigurációnak jól működnie kell a legtöbb felhasználó számára, de a fájlt megnyithatja és szükség szerint módosíthatja.

A felügyelet nélküli frissítések csomagja konfigurálható az összes csomag, vagy csak a biztonsági frissítések frissítésére. Az első szakasz meghatározza, hogy milyen típusú csomagok kerülnek automatikus frissítésre. Alapértelmezés szerint csak a biztonsági frissítéseket telepíti, ha engedélyezni szeretné a többi lerakat frissítéseit, akkor a megfelelő lerakatot eltávolíthatja a kettős perjel // eltávolításával a sor elejétől. Bármi, ami a // után van, egy megjegyzés és a csomag nem olvassa el.

/etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Allowed-Origins { "${distro_id}:${distro_codename}"; "${distro_id}:${distro_codename}-security"; // Extended Security Maintenance; doesn't necessarily exist for // every release and this system may not have it installed, but if // available, the policy for updates is such that unattended-upgrades // should also install from here by default. "${distro_id}ESM:${distro_codename}"; // "${distro_id}:${distro_codename}-updates"; // "${distro_id}:${distro_codename}-proposed"; // "${distro_id}:${distro_codename}-backports"; };

Ha valamilyen okból meg kívánja tiltani bizonyos csomagok automatikus frissítését, akkor egyszerűen csak adja hozzá a csomag feketelistájához:

/etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Package-Blacklist { // "vim"; // "libc6"; // "libc6-dev"; // "libc6-i686"; };

Érdemes e-mailt is kapni, ha valamilyen okból problémát jelent az automatikus frissítés. Ehhez szüntesse meg a következő két sort, és írja be az e-mail címét. Győződjön meg arról, hogy rendelkezik-e olyan eszközzel, amely a rendszerre telepített e-maileket küldhet, például mailx vagy postfix .

/etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Mail "[email protected]"; Unattended-Upgrade::MailOnlyOnError "true";

A felügyelet nélküli automatikus frissítések engedélyezése

Az automatikus frissítés engedélyezéséhez biztosítania kell, hogy az /etc/apt/apt.conf.d/20auto-upgrades apt konfigurációs fájl legalább a következő két sort tartalmazza, amelyeket alapértelmezés szerint tartalmaznia kell:

/etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1";

A fenti konfiguráció frissíti a csomaglistát, és minden nap telepíti az elérhető frissítéseket.

Felveheti a következő sort is, amely 7 naponként megtisztítja a helyi letöltési archívumot.

/etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::AutocleanInterval "7";

Az automatikus frissítések engedélyezésének / letiltásának másik módja a következő parancs futtatása, amely módosítja (vagy létrehozza, ha nem létezik) az /etc/apt/apt.conf.d/20auto-upgrades .

sudo dpkg-reconfigure -plow unattended-upgrades

Tesztelés

Annak teszteléséhez, hogy az automatikus frissítés száraz futást hajt végre-e:

sudo unattended-upgrades --dry-run --debug

A kimenetnek így kell kinéznie:

… pkgs that look like they should be upgraded: Fetched 0 B in 0s (0 B/s) fetch.run() result: 0 blacklist: whitelist: No packages found that can be upgraded unattended and no pending auto-removals

Az automatikus felügyelet nélküli frissítés előzményeit a /var/log/unattended-upgrades/unattended-upgrades.log fájlba naplózza.

Következtetés

Ebben az oktatóanyagban megtanulta az automatikus felügyelet nélküli frissítések konfigurálásának és a rendszer naprakészen tartásának módját.

ubuntu apt biztonság