Dies ist die archivierte Version des Blogs vom 05.01.2017. Aktuelle Beiträge findest du unter thomas-leister.de
 

Bei der Einrichtung eines Ubuntu Servers kann man eine Einstellung aktivieren, die dafür sorgt, dass das System täglich nach neuen Security Updates (oder allgemein Updates) sucht und diese automatisch installiert. Allgemeine Updates automatisch installieren zu lassen mag vielleicht nicht besonders sinnvoll auf Produktivservern sein, aber mit Sicherheitsupdates sollte man nicht warten. Da bietet es sich an, diese einfach automatisch installieren zu lassen. Wer mehrere Server betreut, freut sich ganz besonders über die Funktion ;)

Wer die Einrichtung der automatischen Upgradess verpasst hat, kann diese später problemlos nachinstallieren. Dazu wird das Paket „unattended-upgrades“ installiert:

sudo apt-get install unattended-upgrades

Art der Upgrades wählen

Nach der Installation wird die Konfigurationsdatei /etc/apt/apt.conf.d/50unattended-upgrades geöffnet und an die eigenen Bedürfnisse angepasst. Die Konfiguration kann beispielsweise so aussehen:

// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {
       "${distro_id}:${distro_codename}-security";
//     "${distro_id}:${distro_codename}-updates";
//     "${distro_id}:${distro_codename}-proposed";
//     "${distro_id}:${distro_codename}-backports";
};

In diesem Fall werden nur Security Updates automatisch installiert. Die drei anderen Upgrade-Streams werden wegen der vorangestellten „//“ Kommentarzeichen ignoriert.

Pakete von Upgrade ausnehmen

Falls bestimmte Pakete nicht automatisch aktualisiert werden sollen, kann man das in einer anderen Direktive festlegen:

Unattended-Upgrade::Package-Blacklist {
    "vim";
    "libc6-i686";
};

In diesem Beispiel werden die Pakete „vim“ und „libc-i686“ von den automatischen Upgrades ausgenommen.

E-Mail Benachrichtigungen an den Administrator schicken

Wer sich gerne Benachrichtigen lässt, kann sich vom System E-Mails zu den Upgrades schicken lassen. Auch diese Einstellung wird in „50unattended-upgrades“ geschrieben.

Unattended-Upgrade::Mail "administrator@domain.tld";
Unattended-Upgrade::MailOnlyOnError "true";

Hier werden nur Benachrichtigungsmails versendet, wenn es beim Upgrade Probleme gibt. Wenn die zweite Einstellung weggelassen wird, wird bei jedem Upgrade eine E-Mail gesendet. Damit Mails verschickt werden können, muss das mailx Kommando verfügbar sein, welches z.B. durch das Paket „heirloom-mailx“ bereitgestellt wird:

sudo apt-get install heirloom-mailx

Wann soll auf Upgrades geprüft werden?

Diese Einstellung wird in einer zweiten Konfig-Datei „/etc/apt/apt.conf.d/10periodic“ vorgenommen.

Folgende Konfiguration prüft täglich auf Updates, lädt sie herunter und installiert sie. Alle 7 Tage werden nicht mehr benötigte Pakete vom System entfernt.

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

 


Post published on 24. April 2014 | Last updated on 18. Mai 2014
Tags:             

Diesen Blog unterstützen

Wenn Dir der Beitrag gefallen hat, freue ich mich über einen kleinen Obolus :-) Bitcoin QR Code

PayPal-Seite: https://www.paypal.me/ThomasLeister
Meine Bitcoin-Adresse: 15z8 QkNi dHsx q9WW d8nx W9XU hsdf Qe5B 4s

Siehe auch: Unterstützung

Informationen zum Autor

Thomas Leister

Geb. 1995, Kurzhaar-Metaller, Geek und Blogger. Nutzt seit Anfang 2013 ausschließlich Linux auf Desktop und Servern. Student der Automobilinformatik an der Hochschule für angewandte Wissenschaften in Landshut.

14 thoughts on “Ubuntu Server: Automatische (Security) Upgrades nachträglich aktivieren

  • Ich verstehe gar nicht, warum immer von automatischen Updates abgeraten wird. Auf einem Debian Stable oder Ubuntu LTS ist es imo sehr unwahrscheinlich, dass was schief geht.
    Und wenn wir mal ehrlich sind: Schaut sich hier irgendjemand die Patches und Changelogs einzelner Pakete an? Das einzige was mir noch einfallen könnte wären Abhängigkeitsprobleme infolge dessen Pakete installiert werden, aber das ist bzw wäre mir bisher nur unter Debian Unstable und Alpha-Releases von Ubuntu passiert.

    • Okay, bei LTS sehe ich das ein ;) Aber in allen anderen Fällen mache ich die normalen Upgrades lieber von Hand – dann weiß ich nämlich, wann ich etwas kaputt gemacht habe ;)

    • Ich schaue mir die Patches schon an. Damit ich im Fehlerfall zumindest ansatzweise weiss, wo das Problem liegt.
      Mir ist es zB bei SuSE Clients passiert, das ein fehlerhafter Patch alle Buero PC lahm gelegt hat. Seitdem mache ich keine automatischen Updates mehr.
      Seit ein paar Monaten verwende ich speziell für unsere Ubuntu Arbeitsstationen und Server das Tool
      bibos-admin „https://github.com/magenta-aps/bibos_admin“. Es enstpricht in der Funktionalität Cannical Landscape.

  • Lassen sich unter Ubuntu-Ablegern wie Linux Mint z.B eigentlich auch diese Sicherheits-Updates automatisiert einspielen?

  • Ich habe es bisher mit „cron-apt“ geregelt -> http://wiki.ubuntuusers.de/cron-apt

  • Ist es auch Möglich, das man nur eine Mail bekommt, wenn updates da sind? Gleich welcher art?
    Ohne das diese Automatisch eingespielt werden? So könnte ich mir das Tägliche schauen sparen.

    cu Deta

  • Hi Thomas,

    kurze Frage zu den anderen Upgrade-Streams.
    // „${distro_id}:${distro_codename}-updates“;
    // „${distro_id}:${distro_codename}-proposed“;
    // „${distro_id}:${distro_codename}-backports“;
    Was bewirken diese im einzelnen?

    Vielen Dank.

    MfG
    Marcel

    • Hi,

      in „updates“ liegen alle anderen Updates (die keine Sicherheitsupdates sind) und in den „proposed“ Paketquellen liegt alles, was sich noch im Test befindet. In Backports befinden sich neue Programmversionen, die aber auf ältere Ubuntu Versionen zugeschnitten sind und gefahrlos installiert werden können.

      LG Thomas

  • Hallo,

    leider finde ich kaum etwas zu mailx bzw. die Parameter die übergeben werden sollen, damit der automatisierte E-Mail versandt funktioniert!
    Du schreibst:
    Unattended-Upgrade::Mail „administrator@domain.tld“;
    Dann sollte mailx installiert werden.

    Wie sieht die Konfiguration von mailx genau aus?

    Ich habe nun mit

    gedit ~/.mailrc (in meinem Homeverezichnis) die .mailrc angelegt

    mit folgendem Inhalt

    account strato {
    set smtp-use-starttls
    set smtp=smtp://smtp.strato.de:587
    set smtp-auth=login
    set smtp-auth-user=DEIN-EMAIL-ADRESSE
    set smtp-auth-password=EMAIL-PASSWORT
    set from=“ EMAIL-ADRESSE (DEIN NAME ODER Server Update & Upgrade ODER SONST ETWAS) “
    }

    Eine Test E-Mail wird versendet mit dem Befehl
    echo „Test Email“ | mailx -v -A strato -s „test“ administrator@domain.tld

    Soweit funktioniert mailx nun!
    Also mit „Unattended-Upgrade::Mail E-MAIL ADRESSE“;“ werden dann zukünftig automatisch E-Mails versendet? Oder fehlt hier noch eine weitere Einstellung? Es wäre schön dieses mal zu klären!
    Vielen herzlichen Dank!

    • Hallo,
      ich kann zu mailx (noch) nicht viel sagen, aber was sagt das Log? /var/log/mail.log?
      Ich vermute, dass für mailx der Maildienst (exim, postfix …) konfiguriert sein muss.
      Christian

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.