Ubuntu 16.04で自動セキュリティアップデートをセットアップする方法

まずrootまでのメールが自分のgmailアドレスまで届くようにする

$ sudo vi /etc/aliases

# See man 5 aliases for format
postmaster: root
root: ckenko25
ckenko25: ckenko25@gmail.com

$ sudo newaliases

$ sudo apt install unattended-upgrades

$ cd /etc/apt/apt.conf.d/
$ sudo vi 50unattended-upgrades

システムの更新/アップグレードのタイプを定義する必要があります。unattended-upgradesパッケージには、すべてのパッケージとセキュリティアップデートだけをアップデートするなど、いくつかの自動アップグレードタイプが用意されています。このガイドでは、Ubuntu 16.04システムの「セキュリティ」アップデートを有効にしたいだけです。

最初のブロック構成 ‘Allowed-Origin’で、以下のようにすべての行をコメントにし、セキュリティ行のみを残します。

Unattended-Upgrade::Allowed-Origins {
 //      "${distro_id}:${distro_codename}";
         "${distro_id}:${distro_codename}-security";
         // Extended Security Maintenance; doesn't necessarily exist for
         // every release and this system may not have it installed, but if
         // available, the policy for updates is such that unattended-upgrades
         // should also install from here by default.
 //      "${distro_id}ESM:${distro_codename}";
 //      "${distro_id}:${distro_codename}-updates";
 //      "${distro_id}:${distro_codename}-proposed";
 //      "${distro_id}:${distro_codename}-backports";
 };

ブラックリストパッケージ

2番目のブロックについては、ブラックリストに載っているパッケージの設定です。どのパッケージが更新に許可され、どのパッケージが許可されないかを定義することができます。時には、何らかの理由でシステムに重要なものであるため、一部のパッケージを更新することは望ましくありません。

このセクションでは、ブラックリストパッケージ設定の例を挙げたいだけです。したがって、 ‘vim’、 ‘mysql-server’、および ‘mysql-client’をアップグレードすることを望まないと仮定すると、ブラックリストの設定は以下のようになります。

無人アップグレード::パッケージ - ブラックリスト{ 
         "vim"; 
         "mysql-server"; 
         "mysql-client"; 
// "libc6"; 
// "libc6-dev"; 
// "libc6-i686";

次に、無人アップグレードによって提供される機能を追加して有効にします。すべてのアップデートに対して電子メール通知が必要で、未使用のパッケージを自動的に削除(自動的に自動終了)し、必要に応じて自動再起動を有効にします。

電子メール通知の場合は、次の行のコメントを外します。

Unattended-Upgrade::Mail "root";

未使用パッケージの自動削除を有効にするには、次の行のコメントを外して値を 'true'に変更します。
Unattended-Upgrade::Remove-Unused-Dependencies "true";
アップグレード後の自動再起動(必要な場合)の場合は、「自動再起動」のコメントを外し、値を「true」に変更します。
Unattended-Upgrade::Automatic-Reboot "true";
「自動再起動」を設定すると、サーバーはすべての更新パッケージがインストールされた後で自動的に再起動します。ただし、対応する設定行のコメントを外してリブート値を変更することで、サーバの再起動時間を設定することができます。ここに私の構成です。
Unattended-Upgrade::Automatic-Reboot-Time "00:00";


パッケージの自動更新を有効にするには、自動アップグレード設定を編集する必要があります。

‘ /etc/apt/apt.conf.d ‘ディレクトリに移動し、vimを使用して設定ファイル ‘ 20auto-upgrades ‘を編集します。

$ cd /etc/apt/apt.conf.d/
$ sudo vi 20auto-upgrades

以下のように構成してください。

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "0";

注意:

  • Update-Package-Lists:1は自動更新を有効にし、0は無効にします。
  • Download-Upgradeable-Packages:1は自動ダウンロードパッケージを有効にし、0は無効にします。
  • AutocleanInterval:X日間の自動クリーンパッケージを有効にします。設定では、3日間の自動クリーンパッケージが表示されます。
  • 無人アップグレード:1は自動アップグレードをイネーブルにし、0はディセーブルにします。
 

前回の再起動の確認

$ sudo last reboot

シェアする

  • このエントリーをはてなブックマークに追加

フォローする