Automatische beveiligingsupdates configureren Ubuntu 17.10

In deze dagen van aanvallen op netwerkniveau moeten we meer benadrukken hoe belangrijk het is dat een besturingssysteem wordt bijgewerkt met de nieuwste beveiligingspatches die door de fabrikant zijn uitgegeven.

Er zijn verschillende soorten updates, stuurprogramma's, applicaties, systeem, maar een van de belangrijkste en meest delicate zijn beveiligingsupdates. Hoewel Linux wordt vermeld als een van de veiligste besturingssystemen, is het dat ook, maar dit sluit niet uit dat het vatbaar is voor een soort aanval.

Wanneer een nieuwe editie van een besturingssysteem wordt gelanceerd, zoals in dit geval Ubuntu 17.10, is het meest aanbevolen voor de ontwikkelaar om het systeem in de komende 30 dagen bij te werken op het beveiligingsniveau.

Vandaag zullen we een zeer nuttig onderwerp behandelen op managementniveau en dat is het plannen van de automatische download en installatie van beveiligingsupdates voor Ubuntu 17 en zo zullen we tijd besparen en zullen we er zeker van zijn dat het systeem altijd de laatste updates zal hebben.

1. Update pakketten en installeer updates zonder toezicht op Ubuntu 17.10

Stap 1
De eerste stap die u moet nemen, is het bijwerken van de pakketten die op het systeem zijn geïnstalleerd door de volgende opdracht uit te voeren:

 sudo apt update
Stap 2
Nadat de systeempakketten zijn bijgewerkt, gaan we door met het installeren van de updates zonder toezicht met behulp van de apt-opdracht van het volgende:
 sudo apt install unattended-upgrades

2. Bewerk de configuratiemap in Ubuntu 17.10

Na de installatie is het nodig om de configuratie in de configuratiemap te bewerken /etc/apt/apt.conf.d.
De configuratie van updates zonder toezicht is beschikbaar in de bovengenoemde map, dus we moeten de configuratie bewerken om het type update te definiëren, de updates op de zwarte lijst en eventuele aanvullende configuraties configureren die tijdens het proces worden gepresenteerd.

Stap 1
Hiervoor gaan we naar de map /etc/apt/apt.conf.d en bewerken we het configuratiebestand 50unattended-upgrades met behulp van de nano-editor:

 cd /etc/apt/apt.conf.d/sudo nano 50 unattended-upgrades
Stap 2
Dit ziet eruit als het bestand:

3. Definieer het updatetype in Ubuntu 17.10


Het zal nodig zijn om een ​​type update en/of upgrade voor het besturingssysteem te definiëren. Het onbeheerde updatepakket biedt een soort automatische updates, inclusief het bijwerken van alle pakketten en alleen beveiligingsupdates. In dit geval gaan we alleen de beveiligingsupdate voor Ubuntu 17.10 inschakelen.

In de configuratie van het eerste "Allowed-Origins" -blok zullen we commentaar geven op alle regels en alleen de beveiligingsregel als volgt achterlaten:

 Unattended-Upgrade :: Toegestane oorsprong {// "$ {distro_id}: $ {distro_codename}"; "$ {distro_id}: $ {distro_codename} -beveiliging"; // Uitgebreid beveiligingsonderhoud; bestaat niet per se voor // elke release en dit systeem heeft het misschien niet geïnstalleerd, maar als // beschikbaar is, is het beleid voor updates zodanig dat onbeheerde upgrades // standaard ook vanaf hier moeten worden geïnstalleerd. // "$ {distro_id} ESM: $ {distro_codename}"; // "$ {distro_id}: $ {distro_codename} -updates"; // "$ {distro_id}: $ {distro_codename} -voorgesteld"; // "$ {distro_id}: $ {distro_codename} -backports";

4. Configureer blacklist-pakketten in Ubuntu 17.10


In het tweede blok is er de configuratie van het zwarte lijstpakket. Daar kunnen we definiëren welke pakketten zijn toegestaan ​​voor een update en welke niet. Dit is handig wanneer we niet willen dat bepaalde pakketten binnen het besturingssysteem worden bijgewerkt.

In deze sectie zullen we, als voorbeeld, niet toestaan ​​dat 'vim', 'mysql-server' en 'mysql-client' worden bijgewerkt, in dit geval zou onze blacklist-configuratie vergelijkbaar moeten zijn met de volgende structuur:

 Onbeheerde upgrade :: Pakket-zwarte lijst {"vim"; "mysql-server"; "mysql-client"; // "libc6"; // "libc6-dev"; // "libc6-i686"; };

5. Extra configuratie in Ubuntu 17.10


Dan is het mogelijk om enkele functies toe te voegen en in te schakelen die worden geleverd door updates zonder toezicht. We kunnen bijvoorbeeld een e-mailmelding instellen voor elke update, automatische verwijdering van ongebruikte pakketten inschakelen (apt autoremove automatisch) en automatisch opnieuw opstarten inschakelen indien nodig.

Stap 1
Verwijder voor e-mailmeldingen de volgende regel:

 Unattended-Upgrade :: Mail "root";
Stap 2
Als we ervoor kiezen om e-mailmeldingen te ontvangen, moeten we ervoor zorgen dat de mailx- of sendmail-pakketten op het besturingssysteem zijn geïnstalleerd. Deze kunnen worden geïnstalleerd met de volgende opdracht:
 sudo apt install -y sendmail
Stap 3
Om automatische verwijdering van ongebruikte pakketten mogelijk te maken, zullen we de volgende regel verwijderen en de waarde wijzigen in true:
 Unattended-Upgrade :: Remove-Unused-Dependencies "true";
Stap 4
En als we na de update een automatische herstart willen, zullen we, indien nodig, het commentaar op Automatisch opnieuw opstarten 'verwijderen en de waarde wijzigen in' true ':
 Unattended-Upgrade :: Automatisch opnieuw opstarten "true";
Stap 5
Na het configureren van deze automatische herstart, zal de server automatisch herstarten nadat alle updatepakketten zijn geïnstalleerd. We kunnen de herstarttijd van de server echter configureren door de corresponderende configuratieregel te verwijderen en de herstartwaarde als volgt te wijzigen:
 Onbeheerde upgrade :: Automatische herstarttijd "00:00";
Stap 6
We slaan de wijzigingen op met de volgende toetsencombinatie:

Ctrl + O

We verlaten de editor met:

Ctrl + X

6. Automatische updates inschakelen in Ubuntu 17.10

Stap 1
Om automatische pakketupdates in Ubuntu 17.10 in te schakelen, moeten we de configuratie van automatische updates bewerken door de volgende map te openen:

 cd /etc/apt/apt.conf.d/
Stap 2
zodra we toegang hebben, zullen we een editor gebruiken om toegang te krijgen tot het volgende bestand:
 sudo nano 20 automatische upgrades
Stap 3
In het geïmplementeerde bestand zullen we het volgende toevoegen:
 APT :: Periodiek :: Update-pakket-lijsten "1"; APT :: Periodiek :: Download-upgradebare-pakketten "1"; APT :: Periodiek :: AutocleanInterval "3"; APT :: Periodiek :: Onbeheerd-Upgrade "1";

Stap 4
We slaan de wijzigingen op met de volgende toetsencombinatie:

Ctrl + O

We verlaten de editor met:

Ctrl + X

Stap 5
De toegevoegde of geconfigureerde lijnen zijn:

Update-pakketlijsten1 schakelt automatische update in, 0 om deze uit te schakelen.

Download-upgradebare-pakketten1 schakelt het automatische downloadpakket in, 0 om het uit te schakelen.

AutocleanIntervalMaakt het mogelijk om zelfreinigende pakketten gedurende X dagen in te schakelen. De configuratie toont 3-daagse zelfreinigende pakketten.

Upgrade zonder toezicht1 schakelt automatische update in, 0 om deze uit te schakelen.
Op dit moment worden alle beveiligingsupdates automatisch gedownload en vervolgens op het besturingssysteem geïnstalleerd.

7. Verifieer logboeken voor updates zonder toezicht 17.10


Om alle bijgewerkte pakketten te identificeren, moeten we de onbeheerde upgradelogboeken controleren die zich in de map / bar / log / unattended-upgrades bevinden.

Stap 1
We kunnen naar de map / var / log / unattended-upgrades gaan en de beschikbare logs controleren:

 cd / var / log / unattended-upgradesls -lah

Stap 2
Daar kunnen we drie logs zien:

onbeheerde-upgrades-dpkg.logHet gaat om updates zonder toezicht van de actielogboeken om pakketten bij te werken, bij te werken of te verwijderen.

unattended-upgrades.logHet is een onbeheerd logbestand. Het bevat de update-/upgradepakketlijst, blacklist-pakketlijst en het onbewaakte foutbericht (als er een fout is).

unattended-upgrades-shutdown.log bestandVerwijst naar afsluitgebeurtenissen.

Stap 3
Voor de verificatie van het opnieuw opstarten van het systeem kunnen we de volgende opdracht gebruiken:

 laatste herstart

Met deze praktische opties kunnen we configureren volgens de behoeften die momenteel in de organisatie zijn.

wave wave wave wave wave