Ubuntu启用并设置自动无人值守安全更新

时间:2020-01-09 10:45:35  来源:igfitidea点击:

如何在Ubuntu Linux 18.04或者16.04 LTS系统上设置自动安全更新?

说明:Linux服务器安全性是系统管理员的一项基本任务。
保持服务器或者台式机安全的最基本方法之一是通过安装安全更新程序来及时修补漏洞。
可以使用apt-get命令或者apt命令安装安全更新。
本教程显示如何配置Ubuntu Linux系统,以在Ubuntu安全团队发布时自动安装安全更新。

Ubuntu启用和设置自动无人值守安全更新

您可能想知道为什么如何一种无人值守的方式并安装安全更新?
经常应用更新是确保系统安全的重要部分。
默认情况下,需要使用程序包管理工具手动应用更新。
但是,您可以选择让Ubuntu自动下载并安装重要的安全更新。

步骤1.安装无人值守升级软件包

警告:确实存在与在无人监督的情况下运行无人值守软件升级相关的一些安全风险,但也有好处。
如有疑问,请运用您的判断。

执行以下apt-get命令或者apt命令以安装无人值守升级软件包:

$ sudo apt install unattended-upgrades apt-listchanges bsd-mailx

步骤2. Ubuntu启用无人值守的安全更新

运行以下命令:

$ sudo dpkg-reconfigure -plow unattended-upgrades

您应该会看到由于上述命令而创建的/etc/apt/apt.conf.d/20auto-upgrades文件。
可以使用cat命令查看相同内容:

$ cat /etc/apt/apt.conf.d/20auto-upgrades

输出示例(请确保如下所示;如果不手动进行更新):

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::AutocleanInterval "7";

步骤3.配置文件

您需要使用文本编辑器(如vim命令或者nano命令)编辑名为/etc/apt/apt.conf.d/50unattended-upgrades的文件:

$ sudo vi /etc/apt/apt.conf.d/50unattended-upgrades

确保配置如下:

Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        // Extended Security Maintenance; doesn't necessarily exist for
        // every release and this system Jan not have it installed, but if
        // available, the policy for updates is such that unattended-upgrades
        // should also install from here by default.
        "${distro_id}ESM:${distro_codename}";
//      "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";
};

可以跳过不更新的软件包(可选):

// List of packages to not update (regexp are supported)
Unattended-Upgrade::Package-Blacklist {
      "linux-image";
      "vim";
      "nginx";
};

设置警报电子邮件ID

您需要配置一个电子邮件地址,以便在出现问题或者软件包升级时接收电子邮件。
当然,您必须为此工作设置有效的电子邮件:

//Send email to this address for problems or packages upgrades
// If empty or unset then no email is sent, make sure that you
// have a working mail setup on your system. A package that provides
// 'mailx' must be installed. E.g. "[email protected]"
Unattended-Upgrade::Mail "[email protected]";

自动重启,无需确认

如果升级后找到文件/var/run/reboot-required,请重新启动该框。
例如,重新引导Linux服务器以进行内核更新:

Unattended-Upgrade::Automatic-Reboot "true";

相关:如何确定我的Ubuntu/Debian Linux服务器是否需要重启

保存并关闭文件。
最后,使用文本编辑器(例如vim命令/nano命令)编辑名为/etc/apt/listchanges.conf的文件:

$ sudo vi /etc/apt/listchanges.conf

从以下位置设置电子邮件地址:

email_address=root

至:

[email protected]

保存并关闭文件。

Ubuntu自动更新电子邮件警报

Ubuntu上的无人值守升级软件包通过电子邮件发送了更新报告,如下所示:Ubuntu Linux上的无人值守升级软件包的自动更新会触发电子邮件。

如何在Ubuntu Linux上查看无人值守的升级日志

现在,您已在Ubuntu Server 18.04 LTS上设置了自动更新。
现在该看日志了。
使用grep命令或者cat命令或者更多命令/grep命令:

sudo grep 'linux-image' /var/log/unattended-upgrades/unattended-upgrades.log
sudo cat /var/log/unattended-upgrades/unattended-upgrades.log
sudo tail -f /var/log/unattended-upgrades/unattended-upgrades.log
sudo tail -f /var/log/unattended-upgrades/unattended-upgrades-dpkg.log