|
本文介绍在Debian/Ubuntu操作系统上配置自动安全更新(无人值守升级)的方法,需要先安装unattended-upgrades,然后配置50unattended-upgrades文件,再启用自动安全更新。
前言 Linux管理员使系统保持最新是重要任务之一,它可以使你的系统更加稳定,避免不必要的访问和攻击,在Linux中安装软件包是件小事,以类似的方式,我们也可以更新安全补丁,这是一个简单的教程,将向你显示配置系统以接收自动安全更新。 在未经检查的情况下运行自动安全包升级时会涉及一些安全风险,但也有一些好处。如果你不想错过安全补丁,并希望了解最新的安全补丁。然后,你应该在无人值守升级实用程序的帮助下设置自动安全更新。如果你不想进行自动安全更新,可以在Debian和Ubuntu系统上手动安装安全更新,我们可以通过多种方式实现自动化,但是,我们采用官方方法。
在Debian/Ubuntu中安装无人值守升级包 默认情况下,应在系统上安装无人值守升级包,但如果未安装,请使用以下命令进行安装。 使用APT-GET命令或APT命令安装无人值守升级包,参考Linux中apt与apt-get命令的区别与解释: $ sudo apt-get install unattended-upgrades 以下两个文件允许你自定义此实用程序: /etc/apt/apt.conf.d/50unattended-upgrades /etc/apt/apt.conf.d/20auto-upgrades
在50unattended-upgrades文件中进行必要的更改 默认情况下,仅为安全更新启用了最低要求选项,它没有限制,你可以在此配置许多选项以使此实用程序更有用。 我修剪了文件,只添加了启用的行以便更好地说明: # vi /etc/apt/apt.conf.d/50unattended-upgrades Unattended-Upgrade::Allowed-Origins { "${distro_id}:${distro_codename}"; "${distro_id}:${distro_codename}-security"; "${distro_id}ESM:${distro_codename}"; }; Unattended-Upgrade::DevRelease "false"; 启用了三个来源,详细信息如下: 1、${distro_id}:${distro_codename}:这是必要的,因为安全更新可能会从非安全源中获取新的依赖项。 2、${distro_id}:${distro_codename}-security:用于从源获取安全更新。 3、${distro_id}ESM:${distro_codename}:用于获取ESM(扩展安全维护)用户的安全更新。 启用电子邮件通知(Enable Email Notification):如果你希望在每次安全更新后收到电子邮件通知,请修改以下行(取消注释并添加你的电子邮件ID)。 从: //Unattended-Upgrade::Mail "root"; 改成: Unattended-Upgrade::Mail "ywnz@ywnz.com"; 自动删除未使用的依赖项(Auto Remove Unused Dependencies):你可能需要在每次更新后运行“sudo apt autoremove”命令以从系统中删除未使用的依赖项。 我们可以通过在以下行中进行更改来自动执行此任务(取消注释并将“false”更改为“true”)。 从: //Unattended-Upgrade::Remove-Unused-Dependencies "false"; 改成: Unattended-Upgrade::Remove-Unused-Dependencies "true"; 启用自动重新启动(Enable Automatic Reboot):在为内核安装安全更新时,可能需要重新启动系统,为此,请在以下行中进行以下更改。 从: //Unattended-Upgrade::Automatic-Reboot "false"; 取消注释并将“false”更改为“true”以启用自动重新启动: Unattended-Upgrade::Automatic-Reboot "true"; 在特定时间启用自动重新启动(Enable Automatic Reboot at The Specific Time):如果启用了自动重新启动并且你希望在特定时间执行重新启动,请进行以下更改。 从: //Unattended-Upgrade::Automatic-Reboot-Time "02:00"; 取消注释并根据你的要求更改时间,我将其设置为在凌晨5点重启: Unattended-Upgrade::Automatic-Reboot-Time "05:00";
启用自动安全更新 可以先参考在Ubuntu 18.04服务器上设置自动安全更新(无人值守升级)一文。 现在,我们已经配置了必要的选项,一旦你完成了,请打开以下文件并验证它们,这两个值是否设置正确?它不应该是零(1=启用,0=禁用): # vi /etc/apt/apt.conf.d/20auto-upgrades APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1"; 注: 1、第一行使得每天都能自动执行“apt-get update”。 2、第二行使得每天都可以自动安装安全更新。
相关主题 |
