システム管理者が行うべき重要な管理の役割の1つは、セキュリティパッチと機能の更新が定期的に適用されるようにすることです。セキュリティアップデートは、悪意のあるユーザーがシステムを侵害するために悪用される可能性のある既存の脆弱性に対処します。システムパッケージのパッチ適用が遅れると、機密情報にアクセスして盗み出されるシステム違反が発生する可能性があります。 Ubuntu(さらに言えばLinuxシステム)でパッケージを手動で更新するのは面倒な作業であり、貴重な時間を無駄にします。これは、より生産的なタスクを実行するために他の場所で費やされた可能性のある時間です。回避策として、Linuxサーバーで自動更新を構成することを強くお勧めします。このガイドでは、自動更新を有効にする方法について説明します。 Ubuntu 20.04 。
自動更新の構成は、無人アップグレードによって可能になります パッケージ。このパッケージは、システムを最新のセキュリティおよび機能の更新と同期させます。パッケージをインストールする方法と、後で構成ファイルを変更してアップグレードする更新を制御する方法と、電子メールアラートを送信する方法を説明します。
ステップ1:無人アップグレードパッケージをインストールする
前に説明したように、最初のステップは無人アップグレードをインストールすることです パッケージ。これを実現するために、APTパッケージマネージャーを次のように使用します。
$ sudo apt install unattended-upgradesインストールが完了したら、次のsystemctlコマンドを使用して確認します。
$ sudo systemctl status unattended-upgradesデフォルトでは、以下のスクリーンショットに示されているように、インストールが完了すると、無人アップグレードデーモンが実行されます。
自動更新を設定するには、 update-notifier-commonをインストールします パッケージ:
$ sudo apt install update-notifier-common
ステップ2:無人アップグレードサービスを構成する
このステップでは、無人アップグレード構成ファイルに変更を加えます。
$ sudo vim /etc/apt/apt.conf.d/50unattended-upgradesこのファイルは、更新プロセス中に自動的に更新またはスキップするパッケージを指定するのに役立ちます。ただし、デフォルトでは、以下の行に示すように、セキュリティ更新プログラムのみが自動的にインストールされるように設定されています。したがって、アクションは必要ありません。
二重スラッシュ(//)で始まる行はコメント化されています。リポジトリを更新する場合は、コメントを外すか、二重スラッシュ記号を削除する必要があります。
たとえば、一部のパッケージをアップグレードからブラックリストに登録するには、パラメータ Unattended-Upgrade::Package-Blacklistの行にある二重スラッシュ記号を削除します。 {
次に、パッケージ名を指定します。以下の例では、 Mariadbを防止しています。 およびNginx パッケージのアップグレードから。
下にスクロールすると、有効にするかそのままにしておくかを決定できる他の多くのオプションが表示されます。
ステップ3:メール通知を有効にする
場合によっては、電子メール通知を受け取りたいことがあります。これを実現するには、下の行をスクロールして見つけ、前の二重スラッシュを削除します。
//Unattended-Upgrade::Mail " ";必ず受信者のメールアドレスを指定してください。
Unattended-Upgrade::Mail "[email protected] ";さらに、セキュリティ更新が失敗した場合など、更新が失敗した場合に電子メール更新を受信するように選択できます。これを行うには、次の行を見つけます:
//Unattended-Upgrade::MailReport "on-change";コメントを外し、属性「on-change」を「 only-on-error」に変更します "
セキュリティ更新プログラムがインストールされている場合、カーネルを更新するためにサーバーを再起動することをお勧めします。以下の行を見つけることで、自動再起動を有効にできます。
//Unattended-Upgrade::Automatic-Reboot "false";「false」を変更します "値を"true "
ログインしているユーザーがいて、再起動を続行したい場合は、行を見つけてください "
// Unattended-Upgrade::Automatic-Reboot-WithUsers "true";コメントを外して、以下のようにします。
以下の行のコメントを外すことで、更新が発生する時間を決定することもできます。デフォルトでは、これは午前4:00に設定されています。
// Unattended-Upgrade::Automatic-Reboot-Time "04:00";この例では、午前3時に設定しました
ニーズに合わせて設定できるルールは他にもたくさんあります。先ほど詳しく説明したように、ディレクティブをスクロールしてコメントを外すだけです。
完了したら、変更を保存して構成ファイルを終了します。このセクションではこれで終わりです。
ステップ4:Ubuntu20.04で自動更新を有効にする
最後に、自動アップグレードを有効にするには、図のように20auto-upgradesファイルを編集します。
$ sudo vim /etc/apt/apt.conf.d/20auto-upgradesデフォルトでは、ファイルには次のように2行あります。
これらの行により、アップグレードがどのように行われるかを決定できます。最初の行はパッケージリストの更新を処理し、2番目の行は自動アップグレードを開始します。
値「1」は、それぞれ自動更新と自動アップグレードを有効にします。無効にする場合は、この値を「0」に設定してください。
ここで変更する必要はありません。ファイルを保存して終了するだけです。
ステップ5:メールサーバーを設定する
通知を受信するには、電子メールサーバーを構成する必要があります。 mailxやpostfixなど、使用できるオプションがいくつかあります。
最良の結果を得るには、Postfixをインストールして外部SMTPサーバーへのSMTPリレーを設定します。 UbuntuでPostfixメールサーバーをセットアップする方法の詳細なガイドがあります。
結論
ここまで来たら、Ubuntu20.04で自動更新を設定することに成功しています。パッケージは常に最新バージョンであるため、安心してご利用いただけます。また、サーバーは最新のセキュリティパッチに対応し、根本的なセキュリティの抜け穴に対処します。