[[274400]]

對(duì)于 Linux 管理員來(lái)說(shuō)重要的任務(wù)之一是讓系統(tǒng)保持最新?tīng)顟B(tài)，這可以使得你的系統(tǒng)更加穩(wěn)健并且可以避免不想要的訪問(wèn)與攻擊。

在 Linux 上安裝軟件包是小菜一碟，用相似的方法我們也可以更新安全補(bǔ)丁。

這是一個(gè)向你展示如何配置系統(tǒng)接收自動(dòng)安全更新的簡(jiǎn)單教程。當(dāng)你運(yùn)行自動(dòng)安全包更新而不經(jīng)審查會(huì)給你帶來(lái)一定風(fēng)險(xiǎn)，但是也有一些好處。

如果你不想錯(cuò)過(guò)安全補(bǔ)丁，且想要與最新的安全補(bǔ)丁保持同步，那你應(yīng)該借助無(wú)人值守更新機(jī)制設(shè)置自動(dòng)安全更新。

如果你不想要自動(dòng)安全更新的話，你可以在 Debian/Ubuntu 系統(tǒng)上手動(dòng)安裝安全更新。

我們有許多可以自動(dòng)化更新的辦法，然而我們將先采用官方的方法之后我們會(huì)介紹其它方法。

如何在 Debian/Ubuntu 上安裝無(wú)人值守更新包

無(wú)人值守更新包默認(rèn)應(yīng)該已經(jīng)裝在你的系統(tǒng)上。但萬(wàn)一它沒(méi)被安裝，就用下面的命令來(lái)安裝。

使用 APT-GET 命令和 APT 命令來(lái)安裝 unattended-upgrades 軟件包。

$ sudo apt-get install unattended-upgrades

下方兩個(gè)文件可以使你自定義該機(jī)制：

/etc/apt/apt.conf.d/50unattended-upgrades
/etc/apt/apt.conf.d/20auto-upgrades

在 50unattended-upgrades 文件中做出必要修改

默認(rèn)情況下只有安全更新需要的最必要的選項(xiàng)被啟用。但并不限于此，你可以配置其中的許多選項(xiàng)以使得這個(gè)機(jī)制更加有用。

我修改了一下文件并僅加上被啟用的行以方便闡述：

# vi /etc/apt/apt.conf.d/50unattended-upgrades
 
Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        "${distro_id}ESM:${distro_codename}";
        };
Unattended-Upgrade::DevRelease "false";

有三個(gè)源被啟用，細(xì)節(jié)如下：

• ${distro_id}:${distro_codename}：這是必須的，因?yàn)榘踩驴赡軙?huì)從非安全來(lái)源拉取依賴。
• ${distro_id}:${distro_codename}-security：這用來(lái)從來(lái)源得到安全更新。
• ${distro_id}ESM:${distro_codename}：這是用來(lái)從 ESM（擴(kuò)展安全維護(hù)）獲得安全更新。

啟用郵件通知： 如果你想要在每次安全更新后收到郵件通知，那么就修改以下行段（取消其注釋并加上你的 email 賬號(hào)）。

從：

//Unattended-Upgrade::Mail "root";

修改為：

Unattended-Upgrade::Mail "2daygeek@gmail.com";

自動(dòng)移除不用的依賴： 你可能需要在每次更新后運(yùn)行 sudo apt autoremove 命令來(lái)從系統(tǒng)中移除不用的依賴。

我們可以通過(guò)修改以下行來(lái)自動(dòng)化這項(xiàng)任務(wù)（取消注釋并將 false 改成 true）。

從：

//Unattended-Upgrade::Remove-Unused-Dependencies "false";

修改為：

Unattended-Upgrade::Remove-Unused-Dependencies "true";

啟用自動(dòng)重啟： 你可能需要在安全更新安裝至內(nèi)核后重啟你的系統(tǒng)。你可以在以下行做出修改：

從：

//Unattended-Upgrade::Automatic-Reboot "false";

到：取消注釋并將 false 改成 true以啟用自動(dòng)重啟。

Unattended-Upgrade::Automatic-Reboot "true";

啟用特定時(shí)段的自動(dòng)重啟： 如果自動(dòng)重啟已啟用，且你想要在特定時(shí)段進(jìn)行重啟，那么做出以下修改。

從：

//Unattended-Upgrade::Automatic-Reboot-Time "02:00";

到：取消注釋并將時(shí)間改成你需要的時(shí)間。我將重啟設(shè)置在早上 5 點(diǎn)。

Unattended-Upgrade::Automatic-Reboot-Time "05:00";

如何啟用自動(dòng)化安全更新？

現(xiàn)在我們已經(jīng)配置好了必須的選項(xiàng)，一旦配置好，打開(kāi)以下文件并確認(rèn)是否這兩個(gè)值都已設(shè)置好？值不應(yīng)為0。（1=啟用，0=禁止）。

# vi /etc/apt/apt.conf.d/20auto-upgrades
 
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

詳情：

• 第一行使 apt 每天自動(dòng)運(yùn)行 apt-get update。
• 第一行使 apt 每天自動(dòng)安裝安全更新。

 【編輯推薦】