Bei der Einrichtung eines Ubuntu Servers kann man eine Einstellung aktivieren, die dafür sorgt, dass das System täglich nach neuen Security Updates (oder allgemein Updates) sucht und diese automatisch installiert. Allgemeine Updates automatisch installieren zu lassen mag vielleicht nicht besonders sinnvoll auf Produktivservern sein, aber mit Sicherheitsupdates sollte man nicht warten. Da bietet es sich an, diese einfach automatisch installieren zu lassen. Wer mehrere Server betreut, freut sich ganz besonders über die Funktion ;)
Wer die Einrichtung der automatischen Upgradess verpasst hat, kann diese später problemlos nachinstallieren. Dazu wird das Paket “unattended-upgrades” installiert:
sudo apt-get install unattended-upgrades
Art der Upgrades wählen
Nach der Installation wird die Konfigurationsdatei /etc/apt/apt.conf.d/50unattended-upgrades geöffnet und an die eigenen Bedürfnisse angepasst. Die Konfiguration kann beispielsweise so aussehen:
// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}-security";
// "${distro_id}:${distro_codename}-updates";
// "${distro_id}:${distro_codename}-proposed";
// "${distro_id}:${distro_codename}-backports";
};
In diesem Fall werden nur Security Updates automatisch installiert. Die drei anderen Upgrade-Streams werden wegen der vorangestellten “//” Kommentarzeichen ignoriert.
Pakete von Upgrade ausnehmen
Falls bestimmte Pakete nicht automatisch aktualisiert werden sollen, kann man das in einer anderen Direktive festlegen:
Unattended-Upgrade::Package-Blacklist {
"vim";
"libc6-i686";
};
In diesem Beispiel werden die Pakete “vim” und “libc-i686″ von den automatischen Upgrades ausgenommen.
E-Mail Benachrichtigungen an den Administrator schicken
Wer sich gerne Benachrichtigen lässt, kann sich vom System E-Mails zu den Upgrades schicken lassen. Auch diese Einstellung wird in “50unattended-upgrades” geschrieben.
Unattended-Upgrade::Mail "administrator@domain.tld"; Unattended-Upgrade::MailOnlyOnError "true";
Hier werden nur Benachrichtigungsmails versendet, wenn es beim Upgrade Probleme gibt. Wenn die zweite Einstellung weggelassen wird, wird bei jedem Upgrade eine E-Mail gesendet. Damit Mails verschickt werden können, muss das mailx Kommando verfügbar sein, welches z.B. durch das Paket “heirloom-mailx” bereitgestellt wird:
sudo apt-get install heirloom-mailx
Wann soll auf Upgrades geprüft werden?
Diese Einstellung wird in einer zweiten Konfig-Datei “/etc/apt/apt.conf.d/10periodic” vorgenommen.
Folgende Konfiguration prüft täglich auf Updates, lädt sie herunter und installiert sie. Alle 7 Tage werden nicht mehr benötigte Pakete vom System entfernt.
APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Download-Upgradeable-Packages "1"; APT::Periodic::AutocleanInterval "7"; APT::Periodic::Unattended-Upgrade "1";