Security updates

Ain't nobody got time for that!

We weten het allemaal, bij een machine die niet geüpdatet wordt is het slechts een kwestie van tijd voor iemand misbruik maakt van een beveiligingslek dat nog steeds niet is gedicht op jouw machine. Toch zijn er nog zoveel machines waar gevaarlijke lekken niet gedicht worden omdat de beheerder geen tijd of zin heeft om alle machines 1 voor 1 te updaten.

Hoewel je upgrades eerst intensief moet testen voor het geval deze iets kapot maken kan je de installatie ervan op Debian/Ubuntu machines die uiteraard niet in productie gebruikt worden makkelijk automatiseren met de hulp van het unattended-upgrades package. Meer info over de installatie en eventuele configuratie hiervan kan je hieronder terugvinden.

 

Het installeren zou vrij vlot moeten gaan, met onderstaand commando kan je unattended-upgrades installeren, de package update-notifier-common is echter optioneel, deze staat applicaties toe om de machine te rebooten indien dat nodig is, denk aan kernel updates etc.

$ sudo apt-get install unattended-upgrades update-notifier-common

Na het installeren van unattended-upgrades kan je best onderstaand commando even uitvoeren om de upgrades expliciet aan te zettten.

$ sudo dpkg-reconfigure unattended-upgrades

Er zou een tekst menu tevoorschijn moeten komen, selecteer 'Yes' om de upgrades aan te zetten. Dit zorgt ervoor dat je packages lijst wordt geüpdatet via apt-get update voor /usr/bin/unattended-upgrade wordt uitgevoerd en dat unattended-upgrade effectief loopt.

Om een automatische reboot uit te voeren wanneer dit vereist wordt moet je ten eerste het update-notifier-common package installeren, zoals hierboven is aangegeven en vervolgens onderstaand lijntje toevoegen aan de  /etc/apt/apt.conf.d/50unattended-upgrades file.

Unattended-Upgrade::Automatic-Reboot "true";

Gebruik onderstaand commando om de unattended-upgrades daemon te herstartenmet de aangepaste config.

$ systemctl reload unattended-upgrades

 

Omdat automatisering soms wel eens de mist in kan gaan is het een goed idee om monitoring in te bouwen, je kan bv onderstaande lijn toevoegen in de /etc/apt/apt.conf.d/50unattended-upgrades file om een mail te krijgen wanneer er upgrades geïnstalleerd zijn.

Unattended-Upgrade::Mail "uw@mail.adres";

Indien het je nuttiger lijkt om enkel mails te krijgen wanneer er iets fout gaat bij het updaten kan je onderstaande regel gebruiken om enkel te mailen wanneer er iets fout is gegaan.

Unattended-Upgrade::Automatic-Reboot "true";

 

Om op de hoogte te blijven van de updates die op je systeem geïnstalleerd worden kan je best de logs in de /var/log/unattended-upgrades/ map in de gaten houden, deze laten gedetailleerd zien welke packages wanneer geüpdatet zijn en zijn zeer handig om te kijken wanneer er precies iets kapot is gegaan.