15 novembre 2007
Automatiser les mises à jour de sécurité avec Ubuntu
Testé sur Ubuntu 7.10 Gutsy le 14/11/2007
AMHA, l’automatisation des mises à jour de sécurité Ubuntu (unattended upgrades) peut s’appliquer à 2 types de situations :
- Le serveur non critique, type LAMP ou serveur mail, sur lequel est installé un nombre limité de paquets ne présentant pas à priori d’incompatibilités, et qui ne nécessite pas une administration paranoïaque.
- Le poste de travail d’un utilisateur qui ne veut ou ne peut pas s’occuper des mises à jour.
Dans ces 2 cas il peut être intéressant que les mises à jour de sécurité s’appliquent automatiquement, sans pour autant automatiser le passage aux nouvelles versions, autrement plus risqué.
Voilà comment j’ai fait :
Installation du paquet unattended-upgrades
apt-get install unattended-upgrades |
Editer /etc/apt/apt.conf.d/50unattended-upgrades
// Paquets à mettre à jour (origine, archive) Unattended-Upgrade::Allowed-Origins { "Ubuntu gutsy-security"; // Décommenter pour automatiser les changements de version, pour ceux qui savent ce qu'ils font // "Ubuntu gutsy-updates"; }; // Liste des paquets ne devant pas être mis à jour (exemple) Unattended-Upgrade::Package-Blacklist { "nagios-nrpe-plugin"; "nagios-plugins"; "nagios-plugins-basic"; "nagios-plugins-standard"; "nagios2"; "nagios2-common"; "nagios2-doc"; }; |
Editer ou créer /etc/apt/apt.conf.d/10periodic et ajouter :
APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1"; |
Dans les versions précédentes d’Ubuntu, on peut trouver ces paramètres regroupés avec les autres dans /etc/apt/apt.conf, la tendance actuelle semble être d’utiliser un fichier par fonctionnalité activée dans /etc/apt/apt.conf.d/, et pourquoi pas.
Et voilà c’est tout, la tâche cron quotidienne apt se chargera des mises à jour de sécurité. Les actions sont loggées dans /var/log/unattended-upgrades/
Edit du 7 juin 2011
Depuis Gutsy les choses ont bien évolué et même si la méthode décrite ci-dessus reste adaptée à un serveur, c’est plus simple d’utiliser l’interface graphique pour les machines de bureau :
- Ouvrir le gestionnaire de mise à jour (Menu Système / Administration)
- Dans l’onglet Mises à jour, cocher la case Installer les mises à jour de sécurité sans confirmation
- Valider, et c’est fait.