В этом руководстве показано, как автоматически настраивать обновления в системе Ubuntu, также известные как автоматические обновления.
Мы знаем, что операционная система Linux считается безопасной “по замыслу”. Однако регулярное техническое обслуживание с применением выпущенных обновлений безопасности гарантирует, что она останется таковой. Кроме того, они устраняют ранее существовавшие уязвимости, которые злоумышленники могут использовать для компрометации системы. Одним из наиболее распространенных подходов, используемых системными администраторами Linux, является ручная установка обновлений безопасности. Проблема такого подхода заключается в том, что он не может обеспечить регулярность. Нет ничего необычного в том, что вы забываете выполнить этот шаг. Кроме того, если мы несем ответственность за множество серверов, ручное применение обновлений безопасности на каждом из них отнимет у нас значительное количество времени.
К счастью, если вы используете Ubuntu, есть простой способ обеспечить автоматическое применение обновлений безопасности, который мы покажем в этом руководстве. Он использует специально созданный пакет для автоматического обновления вашей системы Ubuntu.
Пример, описанный в этом руководстве, продемонстрирован с использованием сервера Ubuntu 22.04, но он может быть использован с любой другой версией Ubuntu. Итак, без лишних слов, позвольте нам рассказать вам о шагах, необходимых для достижения этой функциональности.
1. Установите пакет unattended-upgrades
Чтобы настроить автоматические обновления в нашей системе Ubuntu, мы должны сначала установить (если еще не установлен) пакет unattended-upgrades . Чтобы добиться этого, используйте следующую команду APT:
sudo apt install unattended-upgrades
Если вы увидите экран рис 1, выделите, что вы хотите перезапустить службу, и подтвердите нажатием кнопки “Ок”.
Когда установка будет завершена, демон unattended-upgrades должен запуститься автоматически.
sudo systemctl status unattended-upgrades
2. Настройте автоматические обновления в Ubuntu
Следующий шаг - включить и настроить автоматические обновления. Выполните следующую команду:
sudo dpkg-reconfigure --priority=low unattended-upgrades
Появится интерактивное диалоговое окно с просьбой подтвердить, что вы хотите разрешить автоматические обновления в вашей системе Ubuntu. Выберите “Да” для подтверждения.
В результате вышеуказанного действия будет создан файл /etc/apt/apt.conf.d/20auto-upgrades со следующим содержимым:
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";
После согласия на автоматическую установку обновлений нам необходимо их настроить. В частности, какие типы обновлений мы хотим установить в вашей системе Ubuntu автоматически. Позвольте мне уточнить, чтобы вы не запутались.
Существует несколько типов обновлений для вашей системы Ubuntu. Наиболее важными являются обновления для системы безопасности. Считайте, что это критически важные элементы, которые необходимо установить. Они защищают от уязвимостей, которые злоумышленники могут использовать для выполнения нежелательных действий против вашей системы Linux. Второй тип - это стандартные обновления. Они связаны с дополнительным программным обеспечением, которое было установлено в вашей системе.
Например, если будет выпущена новая версия языка программирования Python, вы, скорее всего, получите ее в качестве стандартного обновления, чтобы воспользоваться его новыми функциями.
По умолчанию установка пакета автоматического обновления в вашей системе Ubuntu предварительно настраивает и включает только обновления для системы безопасности. Однако, если вы хотите разрешить автоматическую установку стандартных обновлений, вам необходимо изменить файл конфигурации.
sudo vim /etc/apt/apt.conf.d/50unattended-upgrades
Строки, начинающиеся с двойной косой черты (//), закомментированы. Поэтому удалите символы комментария из начала строки "${distro_id}:${distro_codename}-updates";, если вы хотите также включить автоматическую установку стандартных обновлений.
Мы настоятельно рекомендуем вам избегать использования последних двух типов, “предлагаемых” и “обратных портов”, поскольку они представляют собой программное обеспечение, которое может нарушить нормальную работу вашей системы.
3. Настройте Автоматическую Перезагрузку После применения Обновлений
Давайте теперь сделаем еще один шаг. Как вы знаете, некоторые обновления для системы безопасности требуют перезагрузки системы после обновления программного обеспечения. В качестве примера возьмем обновление ядра Linux. В Ubuntu автоматические обновления безопасности содержат механизм, который определяет, требуют ли какие-либо полученные автоматические обновления перезагрузки системы. И если таковые имеются, вы можете дать команду системе автоматически перезагрузиться. Конечно, по умолчанию эта функция отключена, но если вы хотите ее использовать, позвольте нам показать вам, как легко включить эту полезную функцию.
Все это находится в нашем хорошо известном файле /etc/apt/apt.conf.d/50unattended-upgrades. Итак, давайте приступим к редактированию.
sudo vim /etc/apt/apt.conf.d/50unattended-upgrades
Нас интересуют следующие три линии:
//Unattended-Upgrade::Automatic-Reboot "false";
//Unattended-Upgrade::Automatic-Reboot-WithUsers "true";
//Unattended-Upgrade::Automatic-Reboot-Time "02:00";
Первая строка позволяет нашей системе Ubuntu автоматически перезапускаться после установки обновлений, которые этого требуют. Вторая строка подтверждает перезагрузку, даже если пользователи находятся в системе. Последняя третья строка указывает время, в которое должен произойти перезапуск. Раскоментируйте строки и вставте нужные значения. Окончательная версия должна выглядеть так, как показано ниже.
Сохраните файл с внесенными вами изменениями, а затем выйдите. Наконец, перезапустите службу автоматического обновления, чтобы применить изменения.
sudo systemctl restart unattended-upgrades
4. Следите за файлом журнала
Все автоматические обновления, выполняемые в вашей системе Ubuntu, записываются в файл журнала /var/log/automated-upgrades/unattended-upgrades.log. Просмотрев его содержимое, вы узнаете, какие обновления были применены к вашей системе.
cat /var/log/unattended-upgrades/unattended-upgrades.log
5. Отключить автоматические обновления
В какой-то момент вы можете отключить автоматические обновления в вашей системе Ubuntu. Например, если вы управляете большим количеством серверов, вы, возможно, автоматизировали весь процесс с помощью такого средства автоматизации, как Ansible.
Какова бы ни была причина, остановить автоматическое обновление относительно просто. Выполните следующую команду:
sudo dpkg-reconfigure --priority=low unattended-upgrades
Выберите “Нет” в открывшемся интерактивном диалоговом окне и подтвердите нажатием “Ввод”.
Вывод
В этом посте вы узналм, как настроить автоматическую установку обновления для системы безопасности в вашей системе Ubuntu. Утилита автоматического обновления обеспечивает обновление и безопасность вашей системы, устанавливая самые последние обновления и исправления безопасности, как только они становятся доступными.
Поступая таким образом, вы в значительной степени обеспечиваете безопасность своей системы и то, что она будет постоянно защищена от появившихся уязвимостей.
Мы надеемся, что вы нашли это руководство полезным. Любые предложения и комментарии приветствуются в разделе ниже.
