Bei der Einrichtung eines Ubuntu Servers kann man eine Einstellung aktivieren, die dafür sorgt, dass das System täglich nach neuen Security Updates (oder allgemein Updates) sucht und diese automatisch installiert. Allgemeine Updates automatisch installieren zu lassen mag vielleicht nicht besonders sinnvoll auf Produktivservern sein, aber mit Sicherheitsupdates sollte man nicht warten. Da bietet es sich an, diese einfach automatisch installieren zu lassen. Wer mehrere Server betreut, freut sich ganz besonders über die Funktion ;)
Wer die Einrichtung der automatischen Upgradess verpasst hat, kann diese später problemlos nachinstallieren. Dazu wird das Paket „unattended-upgrades“ installiert:
sudo apt-get install unattended-upgrades
Art der Upgrades wählen
Nach der Installation wird die Konfigurationsdatei /etc/apt/apt.conf.d/50unattended-upgrades geöffnet und an die eigenen Bedürfnisse angepasst. Die Konfiguration kann beispielsweise so aussehen:
// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}-security";
// "${distro_id}:${distro_codename}-updates";
// "${distro_id}:${distro_codename}-proposed";
// "${distro_id}:${distro_codename}-backports";
};
In diesem Fall werden nur Security Updates automatisch installiert. Die drei anderen Upgrade-Streams werden wegen der vorangestellten „//“ Kommentarzeichen ignoriert.
Pakete von Upgrade ausnehmen
Falls bestimmte Pakete nicht automatisch aktualisiert werden sollen, kann man das in einer anderen Direktive festlegen:
Unattended-Upgrade::Package-Blacklist {
"vim";
"libc6-i686";
};
In diesem Beispiel werden die Pakete „vim“ und „libc-i686“ von den automatischen Upgrades ausgenommen.
E-Mail Benachrichtigungen an den Administrator schicken
Wer sich gerne Benachrichtigen lässt, kann sich vom System E-Mails zu den Upgrades schicken lassen. Auch diese Einstellung wird in „50unattended-upgrades“ geschrieben.
Unattended-Upgrade::Mail "administrator@domain.tld"; Unattended-Upgrade::MailOnlyOnError "true";
Hier werden nur Benachrichtigungsmails versendet, wenn es beim Upgrade Probleme gibt. Wenn die zweite Einstellung weggelassen wird, wird bei jedem Upgrade eine E-Mail gesendet. Damit Mails verschickt werden können, muss das mailx Kommando verfügbar sein, welches z.B. durch das Paket „heirloom-mailx“ bereitgestellt wird:
sudo apt-get install heirloom-mailx
Wann soll auf Upgrades geprüft werden?
Diese Einstellung wird in einer zweiten Konfig-Datei „/etc/apt/apt.conf.d/10periodic“ vorgenommen.
Folgende Konfiguration prüft täglich auf Updates, lädt sie herunter und installiert sie. Alle 7 Tage werden nicht mehr benötigte Pakete vom System entfernt.
APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Download-Upgradeable-Packages "1"; APT::Periodic::AutocleanInterval "7"; APT::Periodic::Unattended-Upgrade "1";
http://gamemodeon.de
Ich verstehe gar nicht, warum immer von automatischen Updates abgeraten wird. Auf einem Debian Stable oder Ubuntu LTS ist es imo sehr unwahrscheinlich, dass was schief geht.
Und wenn wir mal ehrlich sind: Schaut sich hier irgendjemand die Patches und Changelogs einzelner Pakete an? Das einzige was mir noch einfallen könnte wären Abhängigkeitsprobleme infolge dessen Pakete installiert werden, aber das ist bzw wäre mir bisher nur unter Debian Unstable und Alpha-Releases von Ubuntu passiert.
https://legacy.thomas-leister.de
Okay, bei LTS sehe ich das ein ;) Aber in allen anderen Fällen mache ich die normalen Upgrades lieber von Hand – dann weiß ich nämlich, wann ich etwas kaputt gemacht habe ;)
http://gamemodoen.de
Ich weiß nicht ob die Zwischenreleases in Zukunft auf Servern überhaupt noch zu gebrauchen sind:
„Our working assumption is that the latest interim release is used by folks who will be involved, even if tangentially, in the making of Ubuntu“
http://www.markshuttleworth.com/archives/1246
Ich schaue mir die Patches schon an. Damit ich im Fehlerfall zumindest ansatzweise weiss, wo das Problem liegt.
Mir ist es zB bei SuSE Clients passiert, das ein fehlerhafter Patch alle Buero PC lahm gelegt hat. Seitdem mache ich keine automatischen Updates mehr.
Seit ein paar Monaten verwende ich speziell für unsere Ubuntu Arbeitsstationen und Server das Tool
bibos-admin „https://github.com/magenta-aps/bibos_admin“. Es enstpricht in der Funktionalität Cannical Landscape.
Lassen sich unter Ubuntu-Ablegern wie Linux Mint z.B eigentlich auch diese Sicherheits-Updates automatisiert einspielen?
https://legacy.thomas-leister.de
Bestimmt. Wichtig ist dem dem Fall eigentlich nur, dass apt verwendet wird. Und das ist ja bei Mint der Fall ;)
LG Thomas
Ich habe es bisher mit „cron-apt“ geregelt -> http://wiki.ubuntuusers.de/cron-apt
Ist es auch Möglich, das man nur eine Mail bekommt, wenn updates da sind? Gleich welcher art?
Ohne das diese Automatisch eingespielt werden? So könnte ich mir das Tägliche schauen sparen.
cu Deta
https://legacy.thomas-leister.de
Hi,
soweit ich weiß, kann man dafür apticron verwenden: http://wiki.ubuntuusers.de/apticron
LG Thomas
danke, schau ich mir mal an..
Hi Thomas,
kurze Frage zu den anderen Upgrade-Streams.
// „${distro_id}:${distro_codename}-updates“;
// „${distro_id}:${distro_codename}-proposed“;
// „${distro_id}:${distro_codename}-backports“;
Was bewirken diese im einzelnen?
Vielen Dank.
MfG
Marcel
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi,
in „updates“ liegen alle anderen Updates (die keine Sicherheitsupdates sind) und in den „proposed“ Paketquellen liegt alles, was sich noch im Test befindet. In Backports befinden sich neue Programmversionen, die aber auf ältere Ubuntu Versionen zugeschnitten sind und gefahrlos installiert werden können.
LG Thomas
Hallo,
leider finde ich kaum etwas zu mailx bzw. die Parameter die übergeben werden sollen, damit der automatisierte E-Mail versandt funktioniert!
Du schreibst:
Unattended-Upgrade::Mail „administrator@domain.tld“;
Dann sollte mailx installiert werden.
Wie sieht die Konfiguration von mailx genau aus?
Ich habe nun mit
gedit ~/.mailrc (in meinem Homeverezichnis) die .mailrc angelegt
mit folgendem Inhalt
account strato {
set smtp-use-starttls
set smtp=smtp://smtp.strato.de:587
set smtp-auth=login
set smtp-auth-user=DEIN-EMAIL-ADRESSE
set smtp-auth-password=EMAIL-PASSWORT
set from=“ EMAIL-ADRESSE (DEIN NAME ODER Server Update & Upgrade ODER SONST ETWAS) “
}
Eine Test E-Mail wird versendet mit dem Befehl
echo „Test Email“ | mailx -v -A strato -s „test“ administrator@domain.tld
Soweit funktioniert mailx nun!
Also mit „Unattended-Upgrade::Mail E-MAIL ADRESSE“;“ werden dann zukünftig automatisch E-Mails versendet? Oder fehlt hier noch eine weitere Einstellung? Es wäre schön dieses mal zu klären!
Vielen herzlichen Dank!
Hallo,
ich kann zu mailx (noch) nicht viel sagen, aber was sagt das Log? /var/log/mail.log?
Ich vermute, dass für mailx der Maildienst (exim, postfix …) konfiguriert sein muss.
Christian