Linux中國

如何在 Debian/Ubuntu 上設置自動安全更新(無人值守更新)

對於 Linux 管理員來說重要的任務之一是讓系統保持最新狀態,這可以使得你的系統更加穩健並且可以避免不想要的訪問與攻擊。

在 Linux 上安裝軟體包是小菜一碟,用相似的方法我們也可以更新安全補丁。

這是一個向你展示如何配置系統接收自動安全更新的簡單教程。當你運行自動安全包更新而不經審查會給你帶來一定風險,但是也有一些好處。

如果你不想錯過安全補丁,且想要與最新的安全補丁保持同步,那你應該藉助無人值守更新機制設置自動安全更新。

如果你不想要自動安全更新的話,你可以在 Debian/Ubuntu 系統上手動安裝安全更新

我們有許多可以自動化更新的辦法,然而我們將先採用官方的方法之後我們會介紹其它方法。

如何在 Debian/Ubuntu 上安裝無人值守更新包

無人值守更新包默認應該已經裝在你的系統上。但萬一它沒被安裝,就用下面的命令來安裝。

使用 APT-GET 命令APT 命令來安裝 unattended-upgrades 軟體包。

$ sudo apt-get install unattended-upgrades

下方兩個文件可以使你自定義該機制:

/etc/apt/apt.conf.d/50unattended-upgrades
/etc/apt/apt.conf.d/20auto-upgrades

在 50unattended-upgrades 文件中做出必要修改

默認情況下只有安全更新需要的最必要的選項被啟用。但並不限於此,你可以配置其中的許多選項以使得這個機制更加有用。

我修改了一下文件並僅加上被啟用的行以方便闡述:

# vi /etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        "${distro_id}ESM:${distro_codename}";
        };
Unattended-Upgrade::DevRelease "false";

有三個源被啟用,細節如下:

  • ${distro_id}:${distro_codename}:這是必須的,因為安全更新可能會從非安全來源拉取依賴。
  • ${distro_id}:${distro_codename}-security:這用來從來源得到安全更新。
  • ${distro_id}ESM:${distro_codename}:這是用來從 ESM(擴展安全維護)獲得安全更新。

啟用郵件通知: 如果你想要在每次安全更新後收到郵件通知,那麼就修改以下行段(取消其注釋並加上你的 email 賬號)。

從:

//Unattended-Upgrade::Mail "root";

修改為:

Unattended-Upgrade::Mail "2daygeek@gmail.com";

自動移除不用的依賴: 你可能需要在每次更新後運行 sudo apt autoremove 命令來從系統中移除不用的依賴。

我們可以通過修改以下行來自動化這項任務(取消注釋並將 false 改成 true)。

從:

//Unattended-Upgrade::Remove-Unused-Dependencies "false";

修改為:

Unattended-Upgrade::Remove-Unused-Dependencies "true";

啟用自動重啟: 你可能需要在安全更新安裝至內核後重啟你的系統。你可以在以下行做出修改:

從:

//Unattended-Upgrade::Automatic-Reboot "false";

到:取消注釋並將 false 改成 true以啟用自動重啟。

Unattended-Upgrade::Automatic-Reboot "true";

啟用特定時段的自動重啟: 如果自動重啟已啟用,且你想要在特定時段進行重啟,那麼做出以下修改。

從:

//Unattended-Upgrade::Automatic-Reboot-Time "02:00";

到:取消注釋並將時間改成你需要的時間。我將重啟設置在早上 5 點。

Unattended-Upgrade::Automatic-Reboot-Time "05:00";

如何啟用自動化安全更新?

現在我們已經配置好了必須的選項,一旦配置好,打開以下文件並確認是否這兩個值都已設置好?值不應為0。(1=啟用,0=禁止)。

# vi /etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

詳情:

  • 第一行使 apt 每天自動運行 apt-get update
  • 第一行使 apt 每天自動安裝安全更新。

via: https://www.2daygeek.com/automatic-security-update-unattended-upgrades-ubuntu-debian/

作者:Magesh Maruthamuthu 選題:lujun9972 譯者:tomjlw 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國