Automatická instalace bezpečnostních aktualizací pro Debian

Debian v základu nemá žádný dostupný nástro/přepínač pro instalaci bezpečnostních aktualizací v apt/aptitude (YUM like distribuce tuto funkci mají). Proto úvádím postup, kterým lze docílit, aby server automaticky kontroloval a stahoval pouze bezpečnostní záplaty.

Naši požadovanou funkcionalitu vykoná balíček unattended-upgrades. Dále doporučuji nainstalovat apt-listchanges pro mailové upomínky, které balíky byly zaktualizovány a jaké změny provedli autoři:

aptitude install unattended-upgrades apt-listchanges

Povolení automatických aktualizací:
dpkg-reconfigure unattended-upgrades

Veškeré provedené automatické aktualizace se zapisují do adresáře /var/log/unattended-upgrades. Konfigurační soubory lze nalézt v /etc/apt/apt.conf.d/20auto-upgrades a /etc/apt/apt.conf.d/50unattended-upgrades.

Unattended-upgrades běží jako /etc/cron.daily úloha kolem 6:25. Pokud chceme změnit dobu spouštění daily úloh, bude nutno editovat crontab např takto:

# vi /etc/crontab

.
.
# m h dom mon dow user  command
 17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly
 25 3    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
 47 3    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
 52 3    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
.
.

Nyní se veškeré daily, weekly a monthly úlohy budou spouštět ve 3:xx hodiny ráno

Apt-listchanges lze nakonfigurovat běžným způsobem v etc:

# cat /etc/apt/listchanges.conf 
[apt]
frontend=pager
email_address=root
confirm=0
save_seen=/var/lib/apt/listchanges.db
which=news

Pozn: lze aplikovat také na Ubuntu.