Ein zentraler Bestandteil der Sicherheit von Linux-Servern ist die rechtzeitige Installation von Sicherheitsaktualisierungen. Unter Debian kann das unattended-upgrades-Paket so konfiguriert werden, dass es unbeaufsichtigte Upgrades durchführt, um automatisch aktualisierte Pakete und/oder Sicherheitsaktualisierungen zu installieren.

Hinweis
Dieser Artikel ist meine persönliche Übersetzung & Anpassung des Quellartikels!

Vor allem ist es eine wichtige Aufgabe für Linux-Administratoren, das System auf dem neuesten Stand zu halten. Dadurch bleibt Ihr System stabiler und sicherer. Als Systemadministrator ist es daher eine der wichtigsten Aufgaben, die Server regelmäßig zu aktualisieren und Sicherheits-Patches aufzuspielen, um sie stabil und sicher zu halten. Wenn ein Administrator diese Aufgabe jedoch vergisst oder als selbstverständlich ansieht, kann dies zu ernsthaften Sicherheitsbedrohungen führen.

Dies ist eine einfache Anleitung, die zeigt, wie ich meine Debian-Systeme (Raspberry OS/Armbian) so konfiguriere, dass sie automatische Sicherheitsaktualisierungen erhälten. Natürlich gibt es viele Möglichkeiten, dies zu automatisieren. Ich entscheide mich jedoch für eine offizielle Methode.

Installation des Pakets unattended-upgrades

Wenn unattended-upgrades noch nicht auf meinem System installiert ist, kann ich es zunächst mit den folgenden Befehlen in der Konsole installieren:

sudo apt update
sudo apt install unattended-upgrades apt-listchanges

Automatische Updates konfigurieren

Die Konfigurationsdatei für unbeaufsichtigte Upgrades befindet sich unter /etc/apt/apt.conf.d. Ihr Name ist 50unattended-upgrades. Ich bearbeite diese mit einem beliebigen Texteditor.

Standardmäßig wurden nur die minimal erforderlichen Optionen für Sicherheitsaktualisierungen aktiviert. Das kann ich mit verändern bzw. aufheben der Kommentierung der folgenden Zeilen in der Datei auf, indem ich die // am Anfang der Zeilen entfernen:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
"origin=Debian,codename=${distro_codename}-updates";
"origin=Debian,codename=${distro_codename}-proposed-updates";
"origin=Debian,codename=${distro_codename},label=Debian";
"origin=Debian,codename=${distro_codename},label=Debian-Security";
Unattended-Upgrade::Origins-Pattern {
        // Codename based matching:
        // This will follow the migration of a release through different
        // archives (e.g. from testing to stable and later oldstable).
        // Software will be the latest available for the named release,
        // but the Debian release itself will not be automatically upgraded.
        "origin=Debian,codename=${distro_codename}-updates";
        "origin=Debian,codename=${distro_codename}-proposed-updates";
        "origin=Debian,codename=${distro_codename},label=Debian";
        "origin=Debian,codename=${distro_codename},label=Debian-Security";

        // Archive or Suite based matching:
        // Note that this will silently match a different release after
        // migration to the specified archive (e.g. testing becomes the
        // new stable).
//      "o=Debian,a=stable";
//      "o=Debian,a=stable-updates";
//      "o=Debian,a=proposed-updates";
//      "o=Debian Backports,a=${distro_codename}-backports,l=Debian Backports";
};

Speichern und den Editor schließen.

E-Mail-Benachrichtigung aktivieren

Wenn ich nach jeder Sicherheitsaktualisierung per E-Mail benachrichtigt werden möchte, muss ich die folgende Zeile (entfernen Sie die Kommentare und einfügen meiner E-Mail-Adresse) bearbeiten.

// Unattended-Upgrade::Mail "";
Unattended-Upgrade::Mail "meine@email.de";

Unbenutzte Pakete automatisch entfernen

Außerdem muss ich möglicherweise nach jeder Aktualisierung den Befehl „sudo apt autoremove“ ausführen, um nicht verwendete Abhängigkeiten aus dem System zu entfernen. Jetzt kann ich diese Aufgabe automatisieren, indem ich die Änderungen in der folgenden Zeile vornehmen (auskommentieren und von „false“ in „true“ ändern).

// Unattended-Upgrade::Remove-Unused-Dependencies "false";
// Unattended-Upgrade::Remove-Unused-Dependencies "true";

Automatische Updates einschalten

Um unbeaufsichtigte Upgrades zu aktivieren, muss ich die Datei /etc/apt/apt.conf.d/20auto-upgrades konfigurieren. Dazu gebe ich in der Konsole den folgenden Befehl ein:

sudo dpkg-reconfigure --priority=low unattended-upgrades

Nachdem ich den obigen Befehl ausgeführt habe, wird das folgende Fenster angezeigt, in dem ich gefragt werden, ob ich stabile Updates automatisch herunterladen und installieren möchten. Ich verwende die Tabulatortaste, um die Option Ja auszuwählen, und drücke Enter.

Die Datei /etc/apt/apt.conf.d/20auto-upgrades wird mit dem folgenden Inhalt aktualisiert:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

Um festzustellen, ob der Dienst Unattended-Upgrade aktiviert ist und ausgeführt wird, kann ich den unten stehenden Befehl eingeben:

sudo systemctl status unattended-upgrades.service

Nachdem die oben genannten Schritte durchgeführt wurden, werden unbeaufsichtigte Upgrades auf meinem System aktiviert, und die Aktualisierungen werden automatisch installiert.

Wenn das System das unbeaufsichtigte Upgrade durchführt, protokolliert es diese Aktivität in den Dateien im Verzeichnis /var/log/unattended-upgrades/.

Automatische Updates abschalten

Um die unbeaufsichtigten Upgrades zu deaktivieren, muss ich den unten stehenden Befehl eingeben:

sudo dpkg-reconfigure --priority=low unattended-upgrades

Nachdem ich den obigen Befehl ausgeführt habe, wird das folgende Fenster angezeigt, in dem ich gefragt werden, ob ich stabile Updates automatisch herunterladen und installieren möchten. Ich verwende die Tabulatortaste, um die Option Nein auszuwählen, und drücke Enter.

Fazit

Indem ich unbeaufsichtigte Aktualisierungen (automatische Updates) auf meinen Debian-Servern (Raspberry OS / Armbian) aktiviere, habe ich einen wichtigen Schritt zum Schutz meiner Server vor Sicherheitslücken getan. Die manuelle Aktualisierung des Systems und die Anwendung von Patches kann ein sehr zeitaufwändiger Prozess sein. Unattended Upgrades spart eine Menge Zeit.

Das Dienstprogramm Unattended Upgrades hält mein System aktuell und sicher, indem es automatisch die neuesten Aktualisierungen und Sicherheitspatches installiert, sobald diese verfügbar sind.

Quellen: