Jednou z klíčových rolí správy, kterou má každý správce systému za úkol, je zajistit, aby byly pravidelně aplikovány bezpečnostní záplaty a aktualizace funkcí. Aktualizace zabezpečení řeší již existující zranitelnosti, které mohou uživatelé se zlými úmysly zneužít k narušení systému. Zpožděná oprava systémových balíčků může mít za následek narušení systému, kde jsou důvěrné informace přístupné a exfiltrované. Ruční aktualizace balíčků na Ubuntu – a na jakémkoli linuxovém systému – je zdlouhavý úkol a plýtvá tím spoustu vašeho drahocenného času. To je čas, který by mohl být stráven jinde prováděním produktivnějších úkolů. Jako řešení se velmi doporučuje konfigurace automatických aktualizací na serveru Linux. V této příručce vás provedeme tím, jak povolit automatické aktualizace na Ubuntu 22.04 .

Konfiguraci automatických aktualizací umožňuje balíček unattended-upgrades . Balíček udržuje váš systém v synchronizaci s nejnovějšími aktualizacemi zabezpečení a funkcí. Ukážeme vám, jak balíček nainstalovat a později, jak upravit konfigurační soubor, abyste řídili, které aktualizace jsou upgradovány a jak můžete odesílat e-mailová upozornění.

Krok 1: Nainstalujte balíček bezobslužných upgradů

Jak bylo uvedeno výše, prvním krokem je instalace balíčku bezobslužných upgradů . Abychom toho dosáhli, použijeme správce balíčků APT následovně:

$ sudo apt install unattended-upgrades

Po dokončení instalace ověřte pomocí následujícího příkazu systemctl:

$ sudo systemctl status unattended-upgrades

Ve výchozím nastavení by se měl démon bezobslužných upgradů spustit po dokončení instalace, jak ukazuje snímek obrazovky níže.

Chcete-li nastavit automatické aktualizace, nainstalujeme balíček update-notifier-common .:

$ sudo apt install update-notifier-common

Krok 2: Nakonfigurujte službu bezobslužných upgradů

V tomto kroku provedeme změny v konfiguračním souboru bezobslužných upgradů.

$ sudo vim /etc/apt/apt.conf.d/50unattended-upgrades

Tento soubor vám pomůže určit, které balíčky by se měly během procesu aktualizace automaticky aktualizovat nebo přeskočit. Ve výchozím nastavení je však nastavena automatická instalace pouze bezpečnostních aktualizací, jak je znázorněno na řádcích níže. Proto není potřeba žádná akce.

Řádky začínající dvojitými lomítky ( // ) jsou komentovány. Pokud chcete aktualizovat úložiště, musíte zrušit komentář nebo odstranit dvojité lomítko.

Chcete-li například upgradovat některé balíčky na černou listinu, odstraňte dvojitá lomítka v řádku s parametrem Unattended-Upgrade::Package-Blacklist {

Poté zadejte názvy balíčků. V níže uvedeném příkladu jsme zabránili Mariadb a Nginx . upgradu balíčků

Když se posunete dolů, můžete vidět řadu dalších možností, které se můžete rozhodnout povolit nebo je nechat tak, jak jsou.

Krok 3: Povolte e-mailová upozornění

Někdy možná budete chtít dostávat e-mailová upozornění. Chcete-li toho dosáhnout, přejděte a vyhledejte řádek níže a odstraňte předchozí dvojitá lomítka.

//Unattended-Upgrade::Mail " ";

Nezapomeňte zadat e-mailovou adresu příjemce.

Unattended-Upgrade::Mail "me@example.com ";

Kromě toho si můžete vybrat, zda chcete dostávat e-mailové aktualizace v případě, že se aktualizace pokazí, například když aktualizace zabezpečení selžou. Chcete-li tak učinit, vyhledejte tento řádek:

//Unattended-Upgrade::MailReport  "on-change";

odkomentujte jej a změňte atribut „on-change“ na “ only-on-error “

Když jsou nainstalovány aktualizace zabezpečení, je vždy dobré restartovat server, aby se aktualizovalo jádro. Automatický restart můžete povolit vyhledáním řádku níže.

//Unattended-Upgrade::Automatic-Reboot "false";

Změňte hodnotu “ false “ na “ true “

Pokud jsou přihlášení uživatelé a chtěli byste pokračovat v restartu, vyhledejte řádek“

// Unattended-Upgrade::Automatic-Reboot-WithUsers "true";

Odkomentujte jej, aby se podobal tomu, co máme níže:

Čas, kdy k aktualizaci dojde, můžete také určit zrušením komentáře na řádku níže. Ve výchozím nastavení je toto nastaveno na 4:00.

// Unattended-Upgrade::Automatic-Reboot-Time "04:00";

V našem případě jsme to nastavili na 3:00

Existuje mnoho dalších pravidel, která si můžete nastavit podle svých potřeb. Jednoduše přejděte a odkomentujte směrnice, jak jsme právě vypracovali.

Jakmile budete hotovi, uložte změny a ukončete konfigurační soubor. O tom je v této sekci.

Krok 4: Povolte automatické aktualizace na Ubuntu 22.04

Nakonec, chcete-li povolit automatické aktualizace, upravte soubor 20auto-upgrades, jak je znázorněno.

$ sudo vim /etc/apt/apt.conf.d/20auto-upgrades

V případě auto-upgradessoubory nebyly nalezeny: sudo apt-get install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades

Ve výchozím nastavení má soubor dva řádky, jak je znázorněno.

Tyto řádky vám umožňují určit, jak bude upgrade probíhat. První řádek se stará o aktualizaci seznamů balíčků, zatímco druhý spouští automatické aktualizace.

Hodnota „1“ povoluje automatickou aktualizaci a automatickou aktualizaci. Pokud jej chcete deaktivovat, nastavte tuto hodnotu na „0“.

Zde nejsou vyžadovány žádné změny, stačí soubor uložit a opustit.

Krok 5: Nastavte poštovní server

Chcete-li dostávat oznámení, musíte nakonfigurovat e-mailový server. Existuje několik možností, které můžete použít, včetně mailx a postfix.

Nejlepších výsledků dosáhnete, když nainstalujete Postfix a nakonfigurujete přenos SMTP na externí servery SMTP.

Závěr

Pokud jste se dostali až sem, úspěšně se vám podařilo nastavit automatické aktualizace na Ubuntu 20.04. Můžete si být jisti, že vaše balíčky budou vždy aktuální s nejnovějšími verzemi. Váš server bude také vybaven nejnovějšími bezpečnostními záplatami, které vyřeší veškeré základní bezpečnostní mezery.