Eine der wichtigsten Verwaltungsaufgaben, die jeder Systemadministrator erfüllen muss, besteht darin, sicherzustellen, dass die Sicherheitspatches und Funktionsupdates regelmäßig angewendet werden. Sicherheitsupdates beheben bereits vorhandene Schwachstellen, die von böswilligen Benutzern ausgenutzt werden können, um das System zu durchbrechen. Verzögertes Patchen von Systempaketen kann zu Systemverletzungen führen, bei denen auf vertrauliche Informationen zugegriffen und diese exfiltriert werden. Das manuelle Aktualisieren von Paketen unter Ubuntu – und jedem Linux-System – ist eine mühsame Aufgabe und verschwendet viel Ihrer kostbaren Zeit. Dies ist Zeit, die an anderer Stelle mit produktiveren Aufgaben hätte verbracht werden können. Als Workaround wird dringend empfohlen, automatische Updates auf einem Linux-Server zu konfigurieren. In dieser Anleitung führen wir Sie durch die Aktivierung von automatische Updates an Ubuntu 20.04.
Die Konfiguration automatischer Updates wird ermöglicht durch die unbeaufsichtigt-upgrades Paket. Das Paket hält Ihr System mit den neuesten Sicherheits- und Funktionsupdates synchron. Wir zeigen Ihnen, wie Sie das Paket installieren und später die Konfigurationsdatei ändern, um zu steuern, welche Updates aktualisiert werden und wie Sie E-Mail-Benachrichtigungen senden können.
Schritt 1: Paket für unbeaufsichtigte Upgrades installieren
Wie bereits erwähnt, ist der erste Schritt die Installation der unbeaufsichtigt-upgrades Paket. Um dies zu erreichen, verwenden wir den APT-Paketmanager wie folgt:
$ sudo apt install unattended-upgrades
Wenn die Installation abgeschlossen ist, überprüfen Sie dies mit dem folgenden systemctl-Befehl:
$ sudo systemctl status unattended-upgrades
Standardmäßig sollte der Daemon für unbeaufsichtigte Upgrades ausgeführt werden, sobald die Installation abgeschlossen ist, wie im Screenshot unten gezeigt.
Um automatische Updates einzurichten, installieren wir die Update-Notifier-Common Paket.:
$ sudo apt install update-notifier-common
Update-Notifier-Common installierenSchritt 2: Dienst für unbeaufsichtigte Upgrades konfigurieren
In diesem Schritt nehmen wir Änderungen an der Konfigurationsdatei für unbeaufsichtigte Upgrades vor.
$ sudo vim /etc/apt/apt.conf.d/50unattended-upgrades
Die Datei hilft Ihnen anzugeben, welche Pakete automatisch aktualisiert oder während des Aktualisierungsvorgangs übersprungen werden sollen. Standardmäßig werden jedoch nur Sicherheitsupdates automatisch installiert, wie in den folgenden Zeilen gezeigt. Daher sind keine Maßnahmen erforderlich.
Zeilen, die mit doppelten Schrägstrichen ( // ) beginnen, werden kommentiert. Wenn Sie ein Repository aktualisieren möchten, müssen Sie die doppelten Schrägstriche auskommentieren oder entfernen.
Für example, um einige Pakete für das Upgrade auf die schwarze Liste zu setzen, entfernen Sie die doppelten Schrägstriche in der Zeile mit dem Parameter Unattended-Upgrade::Package-Blacklist {
Geben Sie dann die Paketnamen an. Im example unten haben wir verhindert, dass Mariadb und Nginx Pakete nicht aktualisiert werden.
Wenn Sie nach unten scrollen, sehen Sie eine Vielzahl anderer Optionen, die Sie möglicherweise aktivieren oder unverändert lassen möchten.
Schritt 3: E-Mail-Benachrichtigungen aktivieren
Manchmal möchten Sie vielleicht E-Mail-Benachrichtigungen erhalten. Um dies zu erreichen, scrollen Sie und suchen Sie die Zeile darunter und entfernen Sie die vorhergehenden doppelten Schrägstriche.
//Unattended-Upgrade::Mail " ";
Geben Sie unbedingt die E-Mail-Adresse des Empfängers an.
Unattended-Upgrade::Mail "[email protected] ";
Darüber hinaus können Sie E-Mail-Updates erhalten, falls ein Update fehlschlägt, beispielsweise wenn Sicherheitsupdates fehlschlagen. Suchen Sie dazu diese Zeile:
//Unattended-Upgrade::MailReport "on-change";
entkommentieren Sie es und ändern Sie das Attribut “bei Änderung” auf “nur bei Fehler”
Senden Sie nur eine E-Mail, wenn ein Update fehlschlägtWenn Sicherheitsupdates installiert sind, empfiehlt es sich immer, den Server neu zu starten, um den Kernel zu aktualisieren. Sie können einen automatischen Neustart aktivieren, indem Sie die folgende Zeile suchen.
//Unattended-Upgrade::Automatic-Reboot "false";
Ändere das “falsch“Wert zu”wahr“
Aktivieren Sie den automatischen Neustart beim Anwenden von SicherheitsupdatesWenn Benutzer angemeldet sind und Sie mit dem Neustart fortfahren möchten, suchen Sie die Zeile “
// Unattended-Upgrade::Automatic-Reboot-WithUsers "true";
Entkommentieren Sie es, damit es dem ähnelt, was wir unten haben:
Aktivieren Sie den automatischen Neustart, während Benutzer noch angemeldet sindSie können auch den Zeitpunkt der Aktualisierung bestimmen, indem Sie die folgende Zeile auskommentieren. Standardmäßig ist dies auf 4:00 Uhr morgens eingestellt.
// Unattended-Upgrade::Automatic-Reboot-Time "04:00";
In unserem Fall haben wir es auf 3:00 Uhr gestellt
Automatische Neustartzeit einstellenEs gibt viele andere Regeln, die Sie Ihren Bedürfnissen anpassen können. Scrollen Sie einfach und entkommentieren Sie die Anweisungen, wie wir sie gerade ausgearbeitet haben.
Wenn Sie fertig sind, speichern Sie die Änderungen und verlassen Sie die Konfigurationsdatei. Darum geht es in diesem Abschnitt.
Schritt 4: Aktivieren Sie automatische Updates auf Ubuntu 20.04
Um schließlich automatische Upgrades zu aktivieren, bearbeiten Sie die Datei 20auto-upgrades wie gezeigt.
$ sudo vim /etc/apt/apt.conf.d/20auto-upgrades
Standardmäßig hat die Datei wie gezeigt zwei Zeilen.
automatische Updates unter Ubuntu 20.04In diesen Zeilen können Sie bestimmen, wie das Upgrade ausgeführt wird. Die erste Zeile übernimmt die Aktualisierung der Paketlisten, während die zweite Zeile die automatischen Upgrades anstößt.
Der Wert “1” aktiviert das Auto-Update bzw. das Auto-Upgrade. Wenn Sie es deaktivieren möchten, setzen Sie diesen Wert auf “0”.
Hier sind keine Änderungen erforderlich, einfach die Datei speichern und beenden.
Schritt 5: E-Mail-Server einrichten
Damit Sie Benachrichtigungen erhalten, müssen Sie einen E-Mail-Server konfigurieren. Es gibt einige Optionen, die Sie verwenden können, einschließlich mailx und postfix.
Um optimale Ergebnisse zu erzielen, installieren Sie Postfix, um SMTP-Relay zu externen SMTP-Servern zu konfigurieren. Wir haben eine detaillierte Anleitung zum Einrichten des Postfix-Mailservers unter Ubuntu.
Fazit
Wenn Sie so weit gekommen sind, haben Sie es erfolgreich geschafft, automatische Updates auf Ubuntu 20.04 einzustellen. Sie können sicher sein, dass Ihre Pakete immer auf dem neuesten Stand sind. Außerdem wird Ihr Server mit den neuesten Sicherheitspatches auf dem neuesten Stand sein, um alle zugrunde liegenden Sicherheitslücken zu schließen.
