Как настроить автоматические обновления безопасности в Ubuntu 16.04
На этой странице
- Что мы будем делать
- Предпосылки
- Шаг 1. Установите автоматические обновления в Ubuntu 16.04
- Шаг 2. Настройка автоматических обновлений
- Определить тип обновления
- Пакеты черного списка
- Дополнительная конфигурация
- Проверка журналов автоматических обновлений
- Уведомление об обновлении
- Уведомление по электронной почте
- Проверка перезагрузки
Обновления безопасности являются неотъемлемой частью мира ИТ. Linux можно считать одной из самых безопасных компьютерных операционных систем, но это не умаляет того факта, что в ней тоже есть уязвимости, которые необходимо устранять с помощью своевременных обновлений безопасности. Как правило, нам необходимо применять обновления безопасности Linux в течение 30 дней после их выпуска.
Мы уже обсуждали, как настроить автоматические обновления безопасности в CentOS. А теперь в этом руководстве мы покажем вам, как шаг за шагом настроить сервер Ubuntu 16.04 для автоматических обновлений безопасности. Таким образом, при обновлении пакетов безопасности система автоматически загружает пакеты и применяет обновление.
Что мы будем делать
- Установка автоматических обновлений в Ubuntu 16.04
- настроить автоматические обновления
- Включить автоматические обновления
- Проверить обновленные пакеты
Предпосылки
- Сервер Ubuntu 16.04
- Привилегии root
Шаг 1. Установите автоматические обновления в Ubuntu 16.04.
Первое, что мы должны сделать, это установить пакет автоматических обновлений в систему. Он доступен в репозитории Ubuntu, и мы можем установить его с помощью команды apt.
Войдите на свой сервер, используя логин SSH.
ssh
Обновите все репозитории и установите автоматические обновления с помощью приведенной ниже команды apt.
sudo apt update
sudo apt install unattended-upgradesПосле установки нам нужно отредактировать конфигурацию в каталоге конфигурации /etc/apt/apt.conf.d.
Шаг 2. Настройте автоматические обновления
Конфигурация автоматического обновления доступна в каталоге /etc/apt/apt.conf.d. Нам нужно отредактировать конфигурацию, чтобы определить тип обновления/обновления, внести обновления в черный список и настроить дополнительную конфигурацию.
Перейдите в каталог /etc/apt/apt.conf.d и отредактируйте файл конфигурации 50unattended-upgrades с помощью редактора vim.
cd /etc/apt/apt.conf.d/
vim 50unattended-upgradesОпределить тип обновления
Нам нужно определить тип обновления/апгрейда для системы. Пакет автоматических обновлений предоставляет некоторые типы автоматических обновлений, включая обновление всех пакетов и только обновлений безопасности. В этом руководстве мы хотим включить обновление безопасности только для системы Ubuntu 16.04.
В конфигурации первого блока Allowed-Origin прокомментируйте все строки и оставьте только строку безопасности, как показано ниже.
Unattended-Upgrade::Allowed-Origins {
// "${distro_id}:${distro_codename}";
"${distro_id}:${distro_codename}-security";
// Extended Security Maintenance; doesn't necessarily exist for
// every release and this system may not have it installed, but if
// available, the policy for updates is such that unattended-upgrades
// should also install from here by default.
// "${distro_id}ESM:${distro_codename}";
// "${distro_id}:${distro_codename}-updates";
// "${distro_id}:${distro_codename}-proposed";
// "${distro_id}:${distro_codename}-backports";
};Пакеты черного списка
Для второго блока его конфигурация пакетов из черного списка. Мы можем определить, какие пакеты разрешены для обновления, а какие нет. Иногда мы не хотим, чтобы некоторые пакеты обновлялись, потому что по какой-то причине это критично для системы.
В этом разделе мы просто хотим привести пример настройки пакетов из черного списка. Итак, предположим, мы не хотим, чтобы vim, mysql-server и mysql-client обновлялись, в этом случае наша конфигурация черного списка должна быть похожа на показанную ниже.
Unattended-Upgrade::Package-Blacklist {
"vim";
"mysql-server";
"mysql-client";
// "libc6";
// "libc6-dev";
// "libc6-i686";
};Дополнительная конфигурация
Далее мы хотим добавить и включить некоторые функции, предоставляемые автоматическими обновлениями. Нам нужно уведомление по электронной почте для каждого обновления, включить автоматическое удаление неиспользуемых пакетов (apt autoremove автоматически) и включить автоматическую перезагрузку, если это необходимо.
Для уведомления по электронной почте раскомментируйте следующую строку.
Unattended-Upgrade::Mail "root";
Примечание:
Убедитесь, что в вашей системе установлены пакеты mailx или sendmail. Вы можете использовать следующую команду для установки почтового приложения.
sudo apt install -y sendmail
Чтобы включить автоматическое удаление неиспользуемых пакетов, раскомментируйте следующую строку и измените значение на true.
Unattended-Upgrade::Remove-Unused-Dependencies "true";
А для автоматической перезагрузки после обновления (при необходимости) раскомментируйте Automatic-Reboot и измените значение на true.
Unattended-Upgrade::Automatic-Reboot "true";
После настройки автоматической перезагрузки сервер автоматически перезагрузится после установки всех пакетов обновлений. Однако мы можем настроить время перезагрузки сервера, раскомментировав соответствующую строку конфигурации и изменив значение перезагрузки. Вот моя конфигурация.
Unattended-Upgrade::Automatic-Reboot-Time "00:00";
Сохранить и выйти.
Пакет автоматических обновлений установлен, и вся настройка завершена.
Шаг 3. Включите автоматическое обновление
Чтобы включить автоматическое обновление пакетов, нам нужно отредактировать конфигурацию автоматического обновления.
Перейдите в каталог /etc/apt/apt.conf.d и отредактируйте файл конфигурации 20auto-upgrades с помощью vim.
cd /etc/apt/apt.conf.d/
vim 20auto-upgradesСделайте конфигурацию, как показано ниже.
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "3";
APT::Periodic::Unattended-Upgrade "1";Сохранить и выйти.
Примечание:
- Update-Package-Lists: 1 — включить автоматическое обновление, 0 — отключить.
- Download-Upgradeable-Packages: 1 включает автоматическую загрузку пакета, 0 — отключает.
- AutocleanInterval: включить автоматическую очистку пакетов на X дней. Конфигурация показывает пакеты автоматической очистки за 3 дня.
- Автоматическое обновление: 1 включает автоматическое обновление, 0 отключает.
На этом этапе все обновления безопасности будут автоматически загружены, а затем установлены в системе.
Шаг 4 - Проверьте обновленные пакеты
Проверка журналов автоматических обновлений
Чтобы определить все обновленные пакеты, нам нужно проверить журналы автоматических обновлений, расположенные в каталоге /var/log/unattended-upgrades.
Перейдите в каталог /var/log/unattended-upgrades и проверьте доступные журналы.
cd /var/log/unattended-upgrades
ls -lahВы получите 3 файла журнала.
- unattended-upgrades-dpkg.log — журналы действий автоматического обновления для обновления, обновления или удаления пакетов.
- unattended-upgrades.log — файл журнала автоматической установки. Список пакетов обновления/обновления, список пакетов черного списка и сообщение об автоматической ошибке (если есть ошибка). Файл
- unattended-upgrades-shutdown.log.
Уведомление об обновлении
Другой способ определить обновленные пакеты — найти уведомление об обновлении при входе в систему SSH.
На следующем снимке экрана показано уведомление сервера перед применением обновлений безопасности.
И когда все пакеты безопасности будут обновлены, появится следующее сообщение.
Уведомление по электронной почте
Для уведомлений по электронной почте мы настроили уведомление на корневую электронную почту.
Перейдите в каталог /var/mail и проверьте корневой файл электронной почты.
cd /var/mail/
cat rootМы можем идентифицировать такие вещи, как пакеты из черного списка, обновленные пакеты и удаленные пакеты.
Проверка перезагрузки
Для проверки перезагрузки вы можете использовать следующую команду.
last reboot
Ниже приведен результат до обновления всех пакетов безопасности.
И вот результат после обновлений.
Пакет автоматических обновлений установлен и настроен для автоматических обновлений безопасности. И он работает с включенной автоматической перезагрузкой, а также с включенным уведомлением по электронной почте.
Ссылка
- https://help.ubuntu.com/