Skonfiguruj automatyczne aktualizacje zabezpieczeń Ubuntu 17.10

W dzisiejszych czasach ataku na poziomie sieci musimy bardziej podkreślić znaczenie aktualizacji systemu operacyjnego najnowszymi poprawkami bezpieczeństwa wydanymi przez producenta.

Istnieją różne rodzaje aktualizacji, sterowników, aplikacji, systemu, ale jednym z najważniejszych i najdelikatniejszych są aktualizacje zabezpieczeń. Chociaż Linux jest wymieniony jako jeden z najbezpieczniejszych systemów operacyjnych, w rzeczywistości tak jest, nie wyklucza to, że jest podatny na pewnego rodzaju ataki.

Po uruchomieniu nowej edycji systemu operacyjnego, jak w tym przypadku Ubuntu 17.10, najbardziej zalecaną rzeczą dla dewelopera jest aktualizacja systemu na poziomie bezpieczeństwa w ciągu najbliższych 30 dni.

Dzisiaj zajmiemy się bardzo przydatnym tematem na poziomie zarządzania, a mianowicie zaplanowaniem automatycznego pobierania i instalacji aktualizacji bezpieczeństwa dla Ubuntu 17, a tym samym zaoszczędzimy czas i będziemy mieć pewność, że system zawsze będzie miał najnowsze aktualizacje.

1. Aktualizuj pakiety i instaluj nienadzorowane aktualizacje na Ubuntu 17.10

Krok 1
Pierwszym krokiem do wykonania jest aktualizacja pakietów zainstalowanych w systemie poprzez wykonanie następującego polecenia:

 aktualizacja sudo apt

Krok 2
Po zaktualizowaniu pakietów systemowych przystępujemy do instalowania nienadzorowanych aktualizacji za pomocą polecenia apt następującego:

 sudo apt install nienadzorowane aktualizacje

2. Edytuj katalog konfiguracyjny w Ubuntu 17.10

Po instalacji konieczna będzie edycja konfiguracji w katalogu konfiguracyjnym /etc/apt/apt.conf.d.
Konfiguracja nienadzorowanych aktualizacji jest dostępna we wspomnianym katalogu, dlatego musimy edytować konfigurację, aby zdefiniować typ aktualizacji, czarną listę aktualizacji i skonfigurować dowolną dodatkową konfigurację, która jest prezentowana w procesie.

Krok 1
W tym celu przejdziemy do katalogu /etc/apt/apt.conf.d i edytujemy plik konfiguracyjny 50unattended-upgrades za pomocą edytora nano:

 cd /etc/apt/apt.conf.d/sudo nano 50unattended-upgrades

Krok 2
To będzie wyglądać jak plik:

3. Zdefiniuj typ aktualizacji w Ubuntu 17.10

Konieczne będzie zdefiniowanie typu aktualizacji i/lub aktualizacji systemu operacyjnego. Nienadzorowany pakiet aktualizacji zapewnia pewnego rodzaju automatyczne aktualizacje, w tym aktualizację wszystkich pakietów i tylko aktualizacje zabezpieczeń. W tym przypadku włączymy tylko aktualizację zabezpieczeń dla Ubuntu 17.10.

W konfiguracji pierwszego bloku „Dozwolone źródła” skomentujemy wszystkie wiersze i zostawimy tylko wiersz bezpieczeństwa w następujący sposób:

 Aktualizacja nienadzorowana :: Dozwolone źródła {// "$ {distro_id}: $ {distro_codename}"; "$ {distro_id}: $ {distro_codename} -bezpieczeństwo"; // Rozszerzona konserwacja bezpieczeństwa; niekoniecznie istnieje dla // każdego wydania i ten system może nie mieć go zainstalowanego, ale jeśli // jest dostępna, polityka aktualizacji jest taka, że ​​aktualizacje nienadzorowane // powinny być również instalowane domyślnie stąd. // "$ {distro_id} ESM: $ {distro_codename}"; // "$ {distro_id}: $ {distro_codename} -aktualizacje"; // "$ {distro_id}: $ {distro_codename} -proponowane"; // "$ {distro_id}: $ {distro_codename} -backports";

4. Skonfiguruj pakiety czarnej listy w Ubuntu 17.10

W drugim bloku znajduje się konfiguracja pakietu czarnej listy. Tam możemy zdefiniować, które pakiety mogą być aktualizowane, a które nie. Jest to przydatne, gdy nie chcemy, aby niektóre pakiety były aktualizowane w systemie operacyjnym.

W tej sekcji, jako przykład, nie pozwolimy na aktualizację 'vim', 'mysql-server' i 'mysql-client', w tym przypadku nasza konfiguracja czarnej listy powinna być podobna do następującej struktury:

 Aktualizacja nienadzorowana :: Package-Blacklist {"vim"; "serwer mysql"; "klient mysql"; // "libc6"; // "libc6-dev"; // "libc6-i686"; };

5. Dodatkowa konfiguracja w Ubuntu 17.10

Wtedy będzie można dodać i włączyć niektóre funkcje dostarczane przez nienadzorowane aktualizacje. Na przykład możemy ustawić powiadomienie e-mail dla każdej aktualizacji, włączyć automatyczne usuwanie nieużywanych pakietów (apt autoremove automatycznie) i włączyć automatyczne ponowne uruchamianie, jeśli to konieczne.

Krok 1
W przypadku powiadomień e-mail odkomentuj następujący wiersz:

 Aktualizacja nienadzorowana :: Poczta "root";

Krok 2
Jeśli zdecydujemy się na otrzymywanie powiadomień e-mail, musimy upewnić się, że pakiety mailx lub sendmail są zainstalowane w systemie operacyjnym. Można je zainstalować za pomocą następującego polecenia:

 sudo apt install -y sendmail

Krok 3
Aby umożliwić automatyczne usuwanie nieużywanych pakietów, odkomentujemy następujący wiersz i zmienimy jego wartość na true:

 Aktualizacja nienadzorowana :: Remove-Unused-Dependencies "true";

Krok 4
A jeśli chcemy automatycznego restartu po aktualizacji, w razie potrzeby odkomentujemy opcję Automatic-Reboot 'i zmienimy wartość na 'true':

 Aktualizacja nienadzorowana :: Automatyczne ponowne uruchomienie "prawda";

Krok 5
Po skonfigurowaniu tego automatycznego ponownego uruchomienia serwer zostanie automatycznie ponownie uruchomiony po zainstalowaniu wszystkich pakietów aktualizacji. Możemy jednak skonfigurować czas restartu serwera, odkomentowując odpowiednią linię konfiguracyjną i zmieniając wartość restartu w następujący sposób:

 Aktualizacja nienadzorowana :: Czas automatycznego ponownego uruchomienia "00:00";

Krok 6
Zmiany zapisujemy za pomocą następującej kombinacji klawiszy:

Ctrl + O

Edytor opuszczamy za pomocą:

Ctrl + X

6. Włącz automatyczne aktualizacje w Ubuntu 17.10

Krok 1
Aby włączyć automatyczne aktualizacje pakietów w Ubuntu 17.10, musimy edytować konfigurację automatycznych aktualizacji, uzyskując dostęp do następującego katalogu:

 cd /etc/apt/apt.conf.d/

Krok 2
gdy uzyskamy dostęp, użyjemy edytora, aby uzyskać dostęp do następującego pliku:

 sudo nano 20automatyczne aktualizacje

Krok 3
We wdrożonym pliku dodamy:

 APT :: Okresowe :: Update-Package-Lists "1"; APT :: Okresowe :: Download-Upgrade-Packages "1"; APT :: Okresowe :: AutocleanInterval "3"; APT :: Okresowe :: Uaktualnienie nienadzorowane "1";

Krok 4
Zmiany zapisujemy za pomocą następującej kombinacji klawiszy:

Ctrl + O

Edytor opuszczamy za pomocą:

Ctrl + X

Krok 5
Dodane lub skonfigurowane linie to:

Aktualizuj-listy-pakietów1 włącza automatyczną aktualizację, 0 wyłącza ją.

Pobierz pakiety z możliwością aktualizacji1 włącza pakiet automatycznego pobierania, 0 wyłącza go.

Interwał automatycznego czyszczeniaUmożliwia włączenie pakietów samooczyszczania na X dni. Konfiguracja przedstawia 3-dniowe pakiety samooczyszczania.

Uaktualnienie nienadzorowane1 włącza automatyczną aktualizację, 0 wyłącza ją.
W tym momencie wszystkie aktualizacje zabezpieczeń zostaną pobrane automatycznie, a następnie zainstalowane w systemie operacyjnym.

7. Zweryfikuj dzienniki pod kątem aktualizacji nienadzorowanych 17.10

Aby zidentyfikować wszystkie zaktualizowane pakiety, musimy sprawdzić logi nienadzorowanej aktualizacji znajdujące się w katalogu / bar / log / unattended-upgrades.

Krok 1
Możemy przejść do katalogu /var/log/unattended-upgrades i sprawdzić dostępne logi:

 cd / var / log / unattended-upgradesls -lah

Krok 2
Widzimy tam trzy logi:

unattended-upgrades-dpkg.logObejmuje nienadzorowane aktualizacje dzienników akcji w celu aktualizacji, aktualizacji lub usunięcia pakietów.

unattended-upgrades.logJest to nienadzorowany plik dziennika. Zawiera listę pakietów aktualizacji/uaktualnienia, listę pakietów czarnej listy oraz nienadzorowany komunikat o błędzie (jeśli wystąpi błąd).

plik unattended-upgrades-shutdown.logOdnosi się do zdarzeń zamknięcia.

Krok 3
Do weryfikacji restartów systemu możemy użyć następującego polecenia:

 ostatni restart

Dzięki tym praktycznym opcjom możemy skonfigurować zgodnie z potrzebami, które są aktualnie w organizacji.