Как да настроите автоматични актуализации на сигурността в Ubuntu (Пълно ръководство)

Сподели

Това ръководство показва как автоматично да настроите актуализации на системата Ubuntu, известни също като надстройки без надзор.

Знаем, че операционната система Linux се счита за сигурна „по проект“. Въпреки това, редовната поддръжка чрез прилагане на пуснати актуализации на защитата гарантира, че тя ще остане такава. В допълнение, те адресират вече съществуващи уязвимости, които злонамерените потребители могат да използват, за да компрометират системата.

Един от най-често срещаните подходи, използвани от системните администратори на Linux, е ръчното инсталиране на актуализации за защита. Проблемът с този подход е, че не може да осигури последователна редовност.

Не е необичайно да забравите да изпълните тази стъпка. Освен това, ако сме отговорни за много сървъри, ръчното прилагане на актуализации на защитата на всеки би отнело значително време от нашето време.

За щастие, ако използвате Ubuntu, има лесен начин да гарантирате, че актуализациите на защитата се прилагат автоматично, което ще покажем в това ръководство. Използва специалното unattended-upgrades пакет за автоматично поддържане на вашата Ubuntu система актуална с най-новите актуализации за сигурност и функции.

Подходът в това ръководство е демонстриран с помощта на Ubuntu 22.04 сървър, но може да се използва с всяка друга версия на Ubuntu. Така че, без повече приказки, нека ви преведем през стъпките, необходими за постигане на тази функционалност.

1. Инсталирайте пакета за безнадзорни надстройки

За да конфигурираме автоматизираните актуализации на нашата Ubuntu система, първо трябва да инсталираме (ако вече не е инсталиран) unattended-upgrades пакет. За да постигнете това, използвайте следната APT команда:

sudo apt install unattended-upgrades

Ако получите екрана по-долу, маркирайте, че искате да рестартирате услугата и потвърдете с бутона „Ok“.

Инсталирайте пакета за безнадзорни надстройки

Когато инсталацията приключи, unattended-upgrades демонът трябва да стартира автоматично. Нека получим потвърждение.

sudo systemctl status unattended-upgrades
Проверете дали услугата за безнадзорни надстройки работи и работи

Както можете да видите, услугата работи и работи.

2. Конфигурирайте автоматични актуализации на Ubuntu

Следващата стъпка е да активирате и конфигурирате автоматичните актуализации. Изпълнете следната команда:

sudo dpkg-reconfigure --priority=low unattended-upgrades

Ще се появи интерактивен диалогов прозорец, който ви подканва да потвърдите, че искате да разрешите автоматични актуализации на вашата Ubuntu система. Изберете „Да“, за да потвърдите.

Потвърдете разрешаването на автоматични актуализации на защитата

В резултат на горното действие файлът /etc/apt/apt.conf.d/20auto-upgrades ще бъде създадено със следното съдържание:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

След като се съгласим да инсталираме актуализации автоматично, трябва да ги конфигурираме. По-конкретно, кои видове актуализации искаме да инсталираме автоматично на нашата Ubuntu система.

Нека уточня, за да не се объркате. Има няколко вида актуализации за вашата Ubuntu система. Най-важните са актуализациите за сигурност. Считайте това за критични и задължителни за инсталиране елементи.

Те защитават от уязвимости, които злонамерените потребители могат да използват за извършване на нежелани действия срещу вашата Linux система.

Вторият тип са стандартните актуализации. Те са свързани с допълнителен софтуер, който е инсталиран във вашата система.

Например, ако бъде пусната нова версия на езика за програмиране Python, най-вероятно ще го получите като стандартна актуализация, за да се възползвате от новите му функции.

По подразбиране инсталирането на unattended-upgrades пакет на вашата Ubuntu система предварително конфигурира и позволява само актуализации на защитата. Въпреки това, ако искате да разрешите автоматично инсталиране на стандартни актуализации, трябва да промените конфигурационния файл.

sudo vim /etc/apt/apt.conf.d/50unattended-upgrades
Конфигурирайте актуализации за защита на Ubuntu

Редовете, които започват с двойни наклонени черти (//) се коментират. Така че премахнете символите за коментар от началото на "${distro_id}:${distro_codename}-updates"; ред, ако искате да активирате и автоматично инсталиране на стандартни актуализации.

Силно ви съветваме да избягвате използването на последните два типа, „предложени“ и „backports“, тъй като те са софтуер, който може да наруши нормалната работа на вашата система.

3. Конфигурирайте автоматично рестартиране след прилагане на актуализации

Нека сега направим още една крачка. Както знаете, някои актуализации на защитата изискват рестартиране на системата след актуализиране на софтуера. Като пример вземете актуализацията на ядрото на Linux.

В Ubuntu автоматичните актуализации на защитата съдържат механизъм, който открива дали получените автоматични актуализации изискват рестартиране на системата. И ако има такива, можете да инструктирате системата да се рестартира автоматично.

Разбира се, тази функционалност е деактивирана по подразбиране, но ако искате да я използвате, нека ви покажем как лесно да активирате тази полезна функция.

Всичко е в нашия добре познат /etc/apt/apt.conf.d/50unattended-upgrades файл. Така че нека започнем да редактираме.

sudo vim /etc/apt/apt.conf.d/50unattended-upgrades

Особено се интересуваме от следните три реда:

//Unattended-Upgrade::Automatic-Reboot "false";
//Unattended-Upgrade::Automatic-Reboot-WithUsers "true";
//Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Първият ред позволява на нашата Ubuntu система да се рестартира автоматично след инсталиране на актуализации, които го изискват. Вторият ред потвърждава рестартирането, дори когато потребителите са влезли в системата по това време. В противен случай машината няма да се рестартира, ако има такива. Последният трети ред указва времето, в което трябва да се извърши рестартирането.

Разбира се, премахнете коментарите преди редовете. Окончателната версия трябва да изглежда като тази по-долу.

Конфигурирайте автоматично рестартиране след прилагане на актуализации

Запазете файла с направените от вас промени и след това излезте. Накрая рестартирайте unattended-upgrades услуга за прилагане на промените.

sudo systemctl restart unattended-upgrades

Следете регистрационния файл

Всички автоматизирани актуализации, извършвани на вашата Ubuntu система, се записват в регистрационния файл /var/log/unattended-upgrades/unattended-upgrades.log. Преглеждайки съдържанието му, ще разберете какви актуализации са приложени към вашата система.

cat /var/log/unattended-upgrades/unattended-upgrades.log
Регистрационен файл за надстройки без надзор

Деактивирайте автоматичните актуализации

В даден момент може да деактивирате автоматичните актуализации на вашата Ubuntu система. Например, ако управлявате много сървъри, може да сте автоматизирали целия процес с инструмент за автоматизация като Ansible.

Каквато и да е причината спирането на автоматичните актуализации е сравнително лесно. Изпълнете следната команда:

sudo dpkg-reconfigure --priority=low unattended-upgrades

Изберете „Не“ от интерактивния диалогов прозорец, който се отваря и потвърждава с натискане на „Enter“.

Деактивирайте автоматичните актуализации на сигурността без надзор в Ubuntu

Заключение

Тази публикация ви научи как да конфигурирате автоматичната инсталация на актуализацията на защитата на вашата Ubuntu система. В unattended-upgrades помощната програма поддържа вашата система актуализирана и защитена, като инсталира най-новите актуализации и корекции за сигурност веднага щом станат достъпни.

По този начин вие в значителна степен гарантирате сигурността на вашата система и че тя ще бъде постоянно защитена от възникнали уязвимости.

Надяваме се, че сте намерили това ръководство за полезно. Всякакви предложения и коментари са добре дошли в раздела по-долу.

Публикациите се превеждат автоматично с google translate


Сподели