2. Unattended Upgrades auf Ubuntu Server: Automatische Updates konfigurieren und sicherstellen, dass wichtige Sicherheitspatches rechtzeitig installiert werden

Inhaltsverzeichnis

  1. Einleitung
  2. Voraussetzungen
  3. Überprüfung und ggf. Installation von Unattended Upgrades
  4. Aktivierung von Unattended Upgrades
  5. Optionale Konfiguration von unattended-upgrades
  6. Überprüfung
  7. Abschluss

Einleitung

Unattended Upgrades ermöglichen es Ihnen, Ihr System auf dem neuesten Stand zu halten, indem Sicherheitsupdates und andere wichtige Patches automatisch installiert werden. Dies ist besonders nützlich, um Ihr System sicher zu halten, ohne dass Sie sich manuell darum kümmern müssen.

Voraussetzungen

  • Ein installiertes Ubuntu Server System.
  • SSH-Zugriff oder direkter Zugriff auf den Server.

Überprüfung und ggf. Installation von Unattended Upgrades

Schritte zur Konfiguration der Unattended Upgrades:
Unattended Upgrades ist in vielen Ubuntu Server-Installationen standardmäßig vorinstalliert. Um sicherzustellen, dass es auf Ihrem System installiert ist, können Sie den folgenden Befehl verwenden:

sudo apt-get install unattended-upgrades

Falls es bereits installiert ist, wird Ihnen das System dies mitteilen. Wenn nicht, wird es automatisch installiert.

Prüfung ob das Paket unattended-upgrades installiert ist

Aktivierung von Unattended Upgrades

Nach der Installation müssen Sie Unattended Upgrades aktivieren. Dies kann mit dem folgenden Befehl erfolgen:

sudo dpkg-reconfigure --priority=low unattended-upgrades
Aktivierungsfenster von unattended-upgrades

Wenn Sie „Ja“ auswählen und mit „Enter“ bestätigen, werden Sicherheitsupdates von nun an automatisch installiert.

Nachdem Sie unattended-upgrades aktiviert haben, sollten Sie sicherstellen, dass es korrekt für Sicherheitsupdates konfiguriert ist. Standardmäßig sind nach der Aktivierung von unattended-upgrades nur Sicherheitsupdates konfiguriert, um automatisch installiert zu werden. Dies ist eine konservative und empfohlene Einstellung. Sie stellt sicher, dass Ihr System gegen bekannte Sicherheitslücken abgesichert ist, ohne das Risiko von Inkompatibilitäten oder Fehlern durch nicht-sicherheitsrelevante Updates.

Optionale Konfiguration von unattended-upgrades

Falls Sie über die standardmäßigen Einstellungen für Sicherheitsupdates hinausgehen und weitere Updates automatisch installieren lassen möchten, können Sie die Konfigurationsdatei von unattended-upgrades manuell bearbeiten.

Öffnen Sie die Hauptkonfigurationsdatei mit dem folgenden Befehl:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Innerhalb dieser Datei finden Sie Abschnitte, die die Arten von Updates definieren, die automatisch installiert werden können. In der Datei sehen Sie Zeilen, die mit // beginnen – dies sind auskommentierte Zeilen. Um eine Option zu aktivieren, entfernen Sie die // am Anfang der entsprechenden Zeile. Achten Sie beim Bearbeiten der Konfigurationsdatei darauf, keine Syntaxfehler zu verursachen, da dies das Verhalten von unattended-upgrades beeinflussen kann.

Konfigurationsdatei von unattended-upgrades: 50unattended-upgrades

Hier sind einige der Zeilen, die Sie möglicherweise aktivieren möchten:

  • „${distro_id}:${distro_codename}-updates“; (Dies gibt an, dass auch Updates aus dem Updates-Repository installiert werden sollen, nicht nur Sicherheitsupdates.)
  • Unattended-Upgrade::Remove-Unused-Kernel-Packages „true“; (Wenn dies aktiviert ist, entfernt unattended-upgrades alte Kernel-Pakete, die nicht mehr benötigt werden, um Speicherplatz freizugeben.)
  • Unattended-Upgrade::Remove-New-Unused-Dependencies „true“; (Diese Option sorgt dafür, dass neu installierte Pakete, die als Abhängigkeiten anderer Pakete hinzugefügt wurden, aber nicht mehr benötigt werden, automatisch entfernt werden.)
  • Unattended-Upgrade::Remove-Unused-Dependencies „true“; (Ähnlich wie der vorherige Punkt, sorgt diese Option dafür, dass nicht mehr benötigte Abhängigkeiten (die von anderen Paketen benötigt wurden) automatisch entfernt werden.)
  • Unattended-Upgrade::Automatic-Reboot „true“; (Bei manchen Updates, insbesondere Kernel-Updates, ist ein Neustart erforderlich, um die Änderungen zu übernehmen. Wenn diese Option aktiviert ist, wird das System automatisch neu gestartet, wenn dies für ein Update erforderlich ist.)
  • Unattended-Upgrade::Automatic-Reboot-WithUsers „true“; (Wenn dies aktiviert ist, wird das System auch dann automatisch neu gestartet, wenn Benutzer angemeldet sind. Dies kann störend sein, wenn jemand gerade arbeitet, daher sollte diese Option mit Vorsicht verwendet werden.)
  • Unattended-Upgrade::Automatic-Reboot-Time „02:00“; (Diese Option legt die Uhrzeit fest, zu der das System automatisch neu gestartet wird, wenn ein Neustart erforderlich ist. In diesem Beispiel ist es auf 2:00 Uhr morgens eingestellt.)
  • Unattended-Upgrade::Allow-APT-Mark-Fallback „true“; (Diese Option erlaubt es unattended-upgrades, auf das ältere apt-mark-Werkzeug zurückzugreifen, wenn das normale Verfahren zum Erkennen und Markieren von automatisch installierten Paketen fehlschlägt. Es handelt sich im Wesentlichen um eine Rückfalloption, die sicherstellt, dass Pakete korrekt gehandhabt werden, wenn neuere Werkzeuge nicht verfügbar oder kompatibel sind.)
  • Unattended-Upgrade::AutoFixInterruptedDpkg „true“; –> Diese Option erlaubt unattended-upgrades, automatisch Probleme zu beheben, die auftreten, wenn ein vorheriges Upgrade nicht abgeschlossen wurde oder wenn das dpkg-Paketverwaltungssystem aus irgendeinem Grund in einem inkonsistenten Zustand zurückgelassen wurde. Es führt dpkg --configure -a aus, um nicht vollständig konfigurierte Pakete zu konfigurieren, was häufig erforderlich ist, nachdem ein Update unerwartet unterbrochen wurde.
  • Unattended-Upgrade::MinimalSteps „true“; –> Wenn diese Option aktiviert ist, führt unattended-upgrades das Upgrade in so kleinen Schritten wie möglich aus. Dies bedeutet, dass Änderungen an Paketen in einzelnen Transaktionen durchgeführt werden, was das Risiko von Problemen bei der Verarbeitung vieler Pakete auf einmal reduziert. Weniger Ausfallrisiko bei Stromausfällen oder Systemabstürzen: Indem Upgrades in kleineren Schritten durchgeführt werden, minimiert diese Option das Risiko, dass das System in einem inkonsistenten Zustand zurückgelassen wird, falls es während des Upgrade-Prozesses zu einem plötzlichen Stromausfall oder Systemabsturz kommt. Jede einzelne Transaktion hat eine höhere Chance, vollständig abgeschlossen zu werden, bevor ein solcher Vorfall eintritt. Durch die Einstellung Unattended-Upgrade::MinimalSteps "true" wird ein konservativerer Ansatz für unattended-upgrades gewählt, der sich auf die Systemstabilität und die Minimierung von Risiken während des Upgrade-Prozesses konzentriert. Dies kann besonders in Umgebungen wichtig sein, in denen die Zuverlässigkeit des Systems von größter Bedeutung ist und wo Unterbrechungen durch Systemausfälle vermieden werden müssen.

Basierend auf meiner Erfahrung hat das Aktivieren dieser Einstellungen noch nie ein Problem verursacht und kann daher als relativ sicher angesehen werden. Sie sorgen dafür, dass Ihr System sauber bleibt, indem nicht mehr benötigte Pakete und Kernel entfernt werden, und ermöglichen automatische Neustarts (z.B. nach Kernel-Updates) zu einer festgelegten Zeit.

Für die nächsten beiden Zeilen benötigen Sie einen konfigurierten Mail-Transfer-Agenten (MTA) wie msmtp, um E-Mail-Benachrichtigungen zu erhalten. Die Einrichtung von msmtp wird in einem separaten Kapitel behandelt.

  • Unattended-Upgrade::Mail „IhreEmail@domain.com“;
  • Unattended-Upgrade::MailReport „on-change“;

Durch Aktivieren der Mail-Optionen werden Sie bei bestimmten Ereignissen oder Änderungen per E-Mail benachrichtigt, was nützlich sein kann, um den Status Ihres Systems zu überwachen.

Um Änderungen in der Datei zu speichern und nano zu verlassen, drücken Sie CTRL + O, gefolgt von Enter, um zu speichern, und dann CTRL + X, um den Editor zu schließen.

Nachdem Sie die gewünschten Änderungen vorgenommen haben und den Editor verlassen haben, empfiehlt es sich, den Dienst neu zu starten:

sudo systemctl restart unattended-upgrades.service

Überprüfung

Nachdem Sie alle gewünschten Änderungen vorgenommen haben, speichern Sie die Datei und schließen Sie den Editor. Es ist eine gute Praxis, den Status der Unattended Upgrades regelmäßig zu überprüfen. Sie können den aktuellen Status mit dem folgenden Befehl überprüfen:

sudo unattended-upgrade --dry-run --debug
Dry-run – unattended-upgrades

Abschluss

Durch die erfolgreiche Implementierung von Unattended Upgrades auf Ihrem Ubuntu Server haben Sie einen entscheidenden Schritt in Richtung eines sicheren und stets aktualisierten Systems unternommen. Dies garantiert, dass Ihr Server ohne Ihr Zutun ständig mit den aktuellsten Sicherheitspatches versorgt wird, minimiert so potenzielle Risiken und maximiert die Stabilität und Sicherheit Ihrer Infrastruktur.

Dennoch ist es von Vorteil, sich gelegentlich über die durchgeführten Aktualisierungen zu informieren und das Systemverhalten zu überprüfen, um sicherzustellen, dass alles reibungslos läuft. Für Fragen oder Anregungen steht Ihnen das Kommentarfeld unter diesem Beitrag zur Verfügung, oder Sie können mich gerne über das Kontaktformular erreichen.

Hinterlasse einen Kommentar

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..

Hinterlasse einen Kommentar

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..