Jednou z klíčových rolí správy, kterou má každý správce systému za úkol, je zajistit, aby byly pravidelně aplikovány bezpečnostní záplaty a aktualizace funkcí. Aktualizace zabezpečení řeší již existující zranitelnosti, které mohou uživatelé se zlými úmysly zneužít k narušení systému. Zpožděná oprava systémových balíčků může mít za následek narušení systému, kde jsou důvěrné informace přístupné a exfiltrované. Ruční aktualizace balíčků na Ubuntu – a na jakémkoli linuxovém systému – je zdlouhavý úkol a ztrácí spoustu vašeho drahocenného času. To je čas, který mohl být stráven jinde prováděním produktivnějších úkolů. Jako řešení se velmi doporučuje konfigurace automatických aktualizací na serveru Linux. V této příručce vás provedeme tím, jak povolit automatické aktualizace na Ubuntu 20.04 .
Konfigurace automatických aktualizací je umožněna pomocí bezobslužných upgradů balík. Balíček udržuje váš systém v synchronizaci s nejnovějšími aktualizacemi zabezpečení a funkcí. Ukážeme vám, jak balíček nainstalovat a později, jak upravit konfigurační soubor, abyste mohli řídit, které aktualizace budou upgradovány a jak můžete zasílat e-mailová upozornění.
Krok 1:Nainstalujte balíček bezobslužných upgradů
Jak bylo uvedeno výše, prvním krokem je instalace bezobslužných upgradů balík. Abychom toho dosáhli, použijeme správce balíčků APT následovně:
$ sudo apt install unattended-upgrades
Po dokončení instalace ověřte pomocí následujícího příkazu systemctl:
$ sudo systemctl status unattended-upgrades
Ve výchozím nastavení by se měl démon bezobslužných upgradů spustit po dokončení instalace, jak ukazuje snímek obrazovky níže.
Chcete-li nastavit automatické aktualizace, nainstalujeme update-notifier-common balíček.:
$ sudo apt install update-notifier-common
Krok 2:Nakonfigurujte službu bezobslužných upgradů
V tomto kroku provedeme změny v konfiguračním souboru bezobslužných upgradů.
$ sudo vim /etc/apt/apt.conf.d/50unattended-upgrades
Tento soubor vám pomůže určit, které balíčky by se měly během procesu aktualizace automaticky aktualizovat nebo přeskočit. Ve výchozím nastavení jsou však automaticky instalovány pouze aktualizace zabezpečení, jak je znázorněno na řádcích níže. Proto není potřeba žádná akce.
Řádky začínající dvojitými lomítky ( // ) jsou komentovány. Pokud chcete aktualizovat úložiště, musíte zrušit komentář nebo odstranit dvojitá lomítka.
Chcete-li například upgradovat některé balíčky na černou listinu, odstraňte dvojitá lomítka v řádku s parametrem Unattended-Upgrade::Package-Blacklist
{
Poté zadejte názvy balíčků. V níže uvedeném příkladu jsme zabránili Mariadb a Nginx balíčky z upgradu.
Když se posunete dolů, můžete vidět řadu dalších možností, které se můžete rozhodnout povolit nebo je nechat tak, jak jsou.
Krok 3:Povolte e-mailová upozornění
Někdy možná budete chtít dostávat e-mailová upozornění. Chcete-li toho dosáhnout, přejděte a vyhledejte řádek níže a odstraňte předchozí dvojitá lomítka.
//Unattended-Upgrade::Mail " ";
Nezapomeňte zadat e-mailovou adresu příjemce.
Unattended-Upgrade::Mail "[email protected] ";
Kromě toho si můžete vybrat, zda chcete dostávat e-mailové aktualizace v případě, že se aktualizace pokazí, například když aktualizace zabezpečení selžou. Chcete-li tak učinit, vyhledejte tento řádek:
//Unattended-Upgrade::MailReport "on-change";
odkomentujte jej a změňte atribut „on-change“ na „on-on-error "
Když jsou nainstalovány aktualizace zabezpečení, je vždy dobré restartovat server, aby se aktualizovalo jádro. Automatický restart můžete povolit vyhledáním řádku níže.
//Unattended-Upgrade::Automatic-Reboot "false";
Změňte hodnotu „false " hodnotu na "pravda "
."Pokud jsou přihlášení uživatelé a přejete si pokračovat v restartu, vyhledejte řádek"
// Unattended-Upgrade::Automatic-Reboot-WithUsers "true";
Odkomentujte jej, aby se podobal tomu, co máme níže:
Čas aktualizace můžete určit také zrušením komentáře na řádku níže. Ve výchozím nastavení je toto nastaveno na 4:00.
// Unattended-Upgrade::Automatic-Reboot-Time "04:00";
V našem případě jsme to nastavili na 3:00
Existuje mnoho dalších pravidel, která si můžete nastavit podle svých potřeb. Jednoduše přejděte a odkomentujte směrnice, jak jsme právě vypracovali.
Jakmile budete hotovi, uložte změny a ukončete konfigurační soubor. To je v této sekci vše.
Krok 4:Povolte automatické aktualizace na Ubuntu 20.04
Nakonec, chcete-li povolit automatické aktualizace, upravte soubor 20auto-upgrades, jak je uvedeno.
$ sudo vim /etc/apt/apt.conf.d/20auto-upgrades
Ve výchozím nastavení má soubor dva řádky, jak je znázorněno.
Tyto řádky vám umožňují určit, jak bude upgrade probíhat. První řádek se stará o aktualizaci seznamů balíčků, zatímco druhý spouští automatické aktualizace.
Hodnota "1" povoluje automatickou aktualizaci a automatickou aktualizaci. Pokud jej chcete deaktivovat, nastavte tuto hodnotu na „0“.
Zde nejsou vyžadovány žádné změny, stačí soubor uložit a opustit.
Krok 5:Nastavte poštovní server
Chcete-li dostávat upozornění, musíte nakonfigurovat e-mailový server. Existuje několik možností, které můžete použít, včetně mailx a postfix.
Nejlepších výsledků dosáhnete, když nainstalujete Postfix a nakonfigurujete přenos SMTP na externí servery SMTP. Máme podrobný návod, jak nastavit poštovní server Postfix na Ubuntu.
Závěr
Pokud jste se dostali až sem, úspěšně se vám podařilo nastavit automatické aktualizace na Ubuntu 20.04. Můžete si být jisti, že vaše balíčky budou vždy aktuální s nejnovějšími verzemi. Váš server bude mít také nejnovější bezpečnostní záplaty, které vyřeší veškeré základní bezpečnostní mezery.