Поиск по сайту:

Как настроить автоматические обновления безопасности в Ubuntu 16.04

На этой странице

  1. Что мы будем делать
  2. Предпосылки
  3. Шаг 1. Установите автоматические обновления в Ubuntu 16.04
  4. Шаг 2. Настройка автоматических обновлений
    1. Определить тип обновления
    2. Пакеты черного списка
    3. Дополнительная конфигурация

    1. Проверка журналов автоматических обновлений
    2. Уведомление об обновлении
    3. Уведомление по электронной почте
    4. Проверка перезагрузки

    Обновления безопасности являются неотъемлемой частью мира ИТ. Linux можно считать одной из самых безопасных компьютерных операционных систем, но это не умаляет того факта, что в ней тоже есть уязвимости, которые необходимо устранять с помощью своевременных обновлений безопасности. Как правило, нам необходимо применять обновления безопасности Linux в течение 30 дней после их выпуска.

    Мы уже обсуждали, как настроить автоматические обновления безопасности в CentOS. А теперь в этом руководстве мы покажем вам, как шаг за шагом настроить сервер Ubuntu 16.04 для автоматических обновлений безопасности. Таким образом, при обновлении пакетов безопасности система автоматически загружает пакеты и применяет обновление.

    Что мы будем делать

    1. Установка автоматических обновлений в Ubuntu 16.04
    2. настроить автоматические обновления
    3. Включить автоматические обновления
    4. Проверить обновленные пакеты

    Предпосылки

    • Сервер Ubuntu 16.04
    • Привилегии root

    Шаг 1. Установите автоматические обновления в Ubuntu 16.04.

    Первое, что мы должны сделать, это установить пакет автоматических обновлений в систему. Он доступен в репозитории Ubuntu, и мы можем установить его с помощью команды apt.

    Войдите на свой сервер, используя логин SSH.

    ssh

    Обновите все репозитории и установите автоматические обновления с помощью приведенной ниже команды apt.

    sudo apt update
    sudo apt install unattended-upgrades

    После установки нам нужно отредактировать конфигурацию в каталоге конфигурации /etc/apt/apt.conf.d.

    Шаг 2. Настройте автоматические обновления

    Конфигурация автоматического обновления доступна в каталоге /etc/apt/apt.conf.d. Нам нужно отредактировать конфигурацию, чтобы определить тип обновления/обновления, внести обновления в черный список и настроить дополнительную конфигурацию.

    Перейдите в каталог /etc/apt/apt.conf.d и отредактируйте файл конфигурации 50unattended-upgrades с помощью редактора vim.

    cd /etc/apt/apt.conf.d/
    vim 50unattended-upgrades

    Определить тип обновления

    Нам нужно определить тип обновления/апгрейда для системы. Пакет автоматических обновлений предоставляет некоторые типы автоматических обновлений, включая обновление всех пакетов и только обновлений безопасности. В этом руководстве мы хотим включить обновление безопасности только для системы Ubuntu 16.04.

    В конфигурации первого блока Allowed-Origin прокомментируйте все строки и оставьте только строку безопасности, как показано ниже.

    Unattended-Upgrade::Allowed-Origins {
     //      "${distro_id}:${distro_codename}";
             "${distro_id}:${distro_codename}-security";
             // Extended Security Maintenance; doesn't necessarily exist for
             // every release and this system may not have it installed, but if
             // available, the policy for updates is such that unattended-upgrades
             // should also install from here by default.
     //      "${distro_id}ESM:${distro_codename}";
     //      "${distro_id}:${distro_codename}-updates";
     //      "${distro_id}:${distro_codename}-proposed";
     //      "${distro_id}:${distro_codename}-backports";
     };

    Пакеты черного списка

    Для второго блока его конфигурация пакетов из черного списка. Мы можем определить, какие пакеты разрешены для обновления, а какие нет. Иногда мы не хотим, чтобы некоторые пакеты обновлялись, потому что по какой-то причине это критично для системы.

    В этом разделе мы просто хотим привести пример настройки пакетов из черного списка. Итак, предположим, мы не хотим, чтобы vim, mysql-server и mysql-client обновлялись, в этом случае наша конфигурация черного списка должна быть похожа на показанную ниже.

    Unattended-Upgrade::Package-Blacklist {
             "vim";
             "mysql-server";
             "mysql-client";
     //      "libc6";
     //      "libc6-dev";
     //      "libc6-i686";
     };

    Дополнительная конфигурация

    Далее мы хотим добавить и включить некоторые функции, предоставляемые автоматическими обновлениями. Нам нужно уведомление по электронной почте для каждого обновления, включить автоматическое удаление неиспользуемых пакетов (apt autoremove автоматически) и включить автоматическую перезагрузку, если это необходимо.

    Для уведомления по электронной почте раскомментируйте следующую строку.

    Unattended-Upgrade::Mail "root";

    Примечание:

    Убедитесь, что в вашей системе установлены пакеты mailx или sendmail. Вы можете использовать следующую команду для установки почтового приложения.

    sudo apt install -y sendmail

    Чтобы включить автоматическое удаление неиспользуемых пакетов, раскомментируйте следующую строку и измените значение на true.

    Unattended-Upgrade::Remove-Unused-Dependencies "true";

    А для автоматической перезагрузки после обновления (при необходимости) раскомментируйте Automatic-Reboot и измените значение на true.

    Unattended-Upgrade::Automatic-Reboot "true";

    После настройки автоматической перезагрузки сервер автоматически перезагрузится после установки всех пакетов обновлений. Однако мы можем настроить время перезагрузки сервера, раскомментировав соответствующую строку конфигурации и изменив значение перезагрузки. Вот моя конфигурация.

    Unattended-Upgrade::Automatic-Reboot-Time "00:00";

    Сохранить и выйти.

    Пакет автоматических обновлений установлен, и вся настройка завершена.

    Шаг 3. Включите автоматическое обновление

    Чтобы включить автоматическое обновление пакетов, нам нужно отредактировать конфигурацию автоматического обновления.

    Перейдите в каталог /etc/apt/apt.conf.d и отредактируйте файл конфигурации 20auto-upgrades с помощью vim.

    cd /etc/apt/apt.conf.d/
    vim 20auto-upgrades

    Сделайте конфигурацию, как показано ниже.

    APT::Periodic::Update-Package-Lists "1";
     APT::Periodic::Download-Upgradeable-Packages "1";
     APT::Periodic::AutocleanInterval "3";
     APT::Periodic::Unattended-Upgrade "1";

    Сохранить и выйти.

    Примечание:

    • Update-Package-Lists: 1 — включить автоматическое обновление, 0 — отключить.
    • Download-Upgradeable-Packages: 1 включает автоматическую загрузку пакета, 0 — отключает.
    • AutocleanInterval: включить автоматическую очистку пакетов на X дней. Конфигурация показывает пакеты автоматической очистки за 3 дня.
    • Автоматическое обновление: 1 включает автоматическое обновление, 0 отключает.

    На этом этапе все обновления безопасности будут автоматически загружены, а затем установлены в системе.

    Шаг 4 - Проверьте обновленные пакеты

    Проверка журналов автоматических обновлений

    Чтобы определить все обновленные пакеты, нам нужно проверить журналы автоматических обновлений, расположенные в каталоге /var/log/unattended-upgrades.

    Перейдите в каталог /var/log/unattended-upgrades и проверьте доступные журналы.

    cd /var/log/unattended-upgrades
    ls -lah

    Вы получите 3 файла журнала.

    1. unattended-upgrades-dpkg.log — журналы действий автоматического обновления для обновления, обновления или удаления пакетов.
    2. unattended-upgrades.log — файл журнала автоматической установки. Список пакетов обновления/обновления, список пакетов черного списка и сообщение об автоматической ошибке (если есть ошибка). Файл
    3. unattended-upgrades-shutdown.log.

    Уведомление об обновлении

    Другой способ определить обновленные пакеты — найти уведомление об обновлении при входе в систему SSH.

    На следующем снимке экрана показано уведомление сервера перед применением обновлений безопасности.

    И когда все пакеты безопасности будут обновлены, появится следующее сообщение.

    Уведомление по электронной почте

    Для уведомлений по электронной почте мы настроили уведомление на корневую электронную почту.

    Перейдите в каталог /var/mail и проверьте корневой файл электронной почты.

    cd /var/mail/
    cat root

    Мы можем идентифицировать такие вещи, как пакеты из черного списка, обновленные пакеты и удаленные пакеты.

    Проверка перезагрузки

    Для проверки перезагрузки вы можете использовать следующую команду.

    last reboot

    Ниже приведен результат до обновления всех пакетов безопасности.

    И вот результат после обновлений.

    Пакет автоматических обновлений установлен и настроен для автоматических обновлений безопасности. И он работает с включенной автоматической перезагрузкой, а также с включенным уведомлением по электронной почте.

    Ссылка

    • https://help.ubuntu.com/