Автоматические обновления давно стали нормой в Windows, но в Linux-среде отношение к ним остаётся осторожным. Многие администраторы до сих пор предпочитают ручной режим: обновляют систему по расписанию, когда «есть время», и рассчитывают на собственную бдительность. Это работает — до тех пор, пока вы не управляете десятками серверов или не сталкиваетесь с первой серьёзной уязвимостью.
В этой статье разберём, как в Debian и Ubuntu организовать безопасное автоматическое обновление с помощью механизма unattended-upgrades, не потеряв контроля и не сломав продакшн.
Иногда автоматизация обновлений полезна, но в критичных сценариях лучше использовать тонкую настройку системных механизмов, как io_uring
Автоматические обновления — хорошо, но иногда система требует тонкой настройки вручную, особенно если вы работаете с systemd
Почему стоит автоматизировать обновления
Количество уязвимостей растёт, а время их эксплуатации всё чаще измеряется не днями, а часами. Защита на уровне ядра, системных библиотек и ключевых пакетов — это не роскошь, а необходимость. Автоматическое обновление — это не отказ от контроля, а способ избавиться от рутины, сохранив возможность точечной настройки.
В Debian/Ubuntu уже встроен модуль unattended-upgrades. По умолчанию он обновляет только секцию безопасности (security), но его можно расширить под любые нужды.
Установка и первичная настройка
apt update && apt install unattended-upgrades apt-listchanges dpkg-reconfigure -plow unattended-upgrades
Убедитесь, что файл /etc/apt/apt.conf.d/20auto-upgrades содержит строки:
APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1";
Настройки, которые стоит задать вручную
Пример разрешённых источников:
Unattended-Upgrade::Allowed-Origins { "LP-PPA-nginx-stable:trusty"; };
Чёрный список пакетов:
Unattended-Upgrade::Package-Blacklist { "postgresql"; "linux-"; };
Автовосстановление зависших dpkg:
Unattended-Upgrade::AutoFixInterruptedDpkg "true";
Почтовые уведомления:
Unattended-Upgrade::Mail "admin@example.com"; Unattended-Upgrade::MailReport "only-on-error";
Перезагрузка после обновлений
Для автоматического ребута:
Unattended-Upgrade::Automatic-Reboot "true"; Unattended-Upgrade::Automatic-Reboot-Time "03:00";
Но лучше использовать вручную согласованное время перезапуска в продакшне.
Настройка уведомлений через внешний SMTP
Установка msmtp:
apt install msmtp mailutils
Пример конфига для Gmail:
# /etc/msmtprc defaults auth on tls on tls_trust_file /etc/ssl/certs/ca-certificates.crt logfile ~/.msmtp.log account default host smtp.gmail.com port 587 from your_account@gmail.com user your_account@gmail.com password your_password
Проверка и отладка
unattended-upgrade -v --dry-run
Эта команда покажет, что будет установлено без применения изменений.
Для клиентов Webhost1
Если вы арендуете VDS или выделенный сервер, автоматизация обновлений защитит от критичных уязвимостей без постоянного ручного контроля. Webhost1 помогает клиентам настроить безопасное обновление, чёрные списки и уведомления — чтобы инфраструктура была устойчивой, даже если уязвимость прилетит внезапно.
Вывод
Поддержка инфраструктуры — это не только про хостинг, но и про защиту от внезапных сбоев. Webhost1 предлагает услугу администрирования с гибкой политикой обновлений — для тех, кто ценит устойчивость, но не хочет разбираться в тонкостях apt.conf.