Конфигурирайте автоматични актуализации на защитата Ubuntu 17.10

В тези дни на атака на мрежово ниво трябва да наблегнем повече върху важността на актуализирането на операционната система с най -новите кръпки за сигурност, издадени от производителя.

Има различни видове актуализации, драйвери, приложения, система, но една от най -важните и деликатни са актуализациите за сигурност. Въпреки че Linux е посочена като една от най -сигурните операционни системи, това всъщност е така, но това не го изключва от склонността към някакъв вид атаки.

Когато стартира ново издание на операционна система, както в този случай Ubuntu 17.10, най -препоръчителното нещо за разработчика е да актуализира системата на ниво сигурност през следващите 30 дни.

Днес ще разгледаме една много полезна тема на ниво управление, а именно да насрочим автоматично изтегляне и инсталиране на актуализации на защитата за Ubuntu 17 и по този начин ще спестим време и ще бъдем сигурни, че системата винаги ще има най -новите актуализации.

1. Актуализирайте пакети и инсталирайте без надзор актуализации на Ubuntu 17.10

Етап 1
Първата стъпка, която трябва да направите, е да актуализирате пакетите, инсталирани в системата, като изпълните следната команда:

 sudo apt актуализация
Стъпка 2
След като системните пакети се актуализират, пристъпваме към инсталиране на автоматичните актуализации, като използваме командата apt на следното:
 sudo apt инсталирате надстройки без надзор

2. Редактирайте конфигурационната директория в Ubuntu 17.10

След инсталирането ще е необходимо да редактирате конфигурацията в конфигурационната директория /etc/apt/apt.conf.d.
Конфигурацията на автоматични актуализации е налична в гореспоменатата директория, така че трябва да редактираме конфигурацията, за да определим вида на актуализацията, актуализациите в черния списък и да конфигурираме всяка допълнителна конфигурация, която е представена в процеса.

Етап 1
За целта ще отидем в директорията /etc/apt/apt.conf.d и ще редактираме конфигурационния файл на 50unattended-upgrades с помощта на nano редактора:

 cd /etc/apt/apt.conf.d/sudo nano 50 непрекъснати надстройки
Стъпка 2
Това ще изглежда като файла:

3. Определете типа актуализация в Ubuntu 17.10


Ще бъде необходимо да се определи тип актуализация и / или надстройка за операционната система. Пакетът за автоматична актуализация предоставя някакъв вид автоматични актуализации, включително актуализиране на всички пакети и само актуализации на защитата. В този случай ще активираме само актуализацията на защитата за Ubuntu 17.10.

В конфигурацията на първия блок „Разрешени източници“ ще коментираме всички редове и ще оставим само защитната линия, както следва:

 Unattended-Upgrade :: Allowed-Origins {// "$ {distro_id}: $ {distro_codename}"; "$ {distro_id}: $ {distro_codename} -security"; // Разширена поддръжка на сигурността; не съществува непременно за // всяко издание и тази система може да не го инсталира, но ако // е налично, политиката за актуализации е такава, че надстройките без надзор // също трябва да се инсталират от тук по подразбиране. // "$ {distro_id} ESM: $ {distro_codename}"; // "$ {distro_id}: $ {distro_codename} -актуализации"; // "$ {distro_id}: $ {distro_codename} -предложено"; // "$ {distro_id}: $ {distro_codename} -backports";

4. Конфигуриране на пакети за черен списък в Ubuntu 17.10


Във втория блок има конфигурация на пакета за черен списък. Там можем да определим кои пакети са разрешени за актуализация и кои не. Това е полезно, когато не искаме определени пакети да се актуализират в рамките на операционната система.

В този раздел, само като пример, няма да позволим да се актуализират „vim“, „mysql-сървър“ и „mysql-клиент“, в този случай нашата конфигурация за черен списък трябва да бъде подобна на следната структура:

 Unattended-Upgrade :: Package-Blacklist {"vim"; "mysql-сървър"; "mysql-клиент"; // "libc6"; // "libc6-dev"; // "libc6-i686"; };

5. Допълнителна конфигурация в Ubuntu 17.10


След това ще бъде възможно да се добавят и активират някои функции, предоставени от актуализации без надзор. Например, можем да зададем известие по имейл за всяка актуализация, да разрешим автоматично премахване на неизползвани пакети (apt autoremove автоматично) и да разрешим автоматично рестартиране, ако е необходимо.

Етап 1
За известия по имейл разкомментирайте следния ред:

 Unatete-Upgrade :: Mail "root";
Стъпка 2
Ако решим да получаваме известия по имейл, трябва да гарантираме, че пакетите mailx или sendmail са инсталирани в операционната система. Те могат да бъдат инсталирани чрез следната команда:
 sudo apt install -y sendmail
Стъпка 3
За да активираме автоматичното премахване на неизползвани пакети, ще декомментираме следния ред и ще променим стойността му на true:
 Unattended-Upgrade :: Remove-Unused-Dependencies "true";
Стъпка 4
И ако искаме автоматично рестартиране след актуализацията, ако е необходимо, ще декомментираме Automatic-Reboot 'и ще променим стойността на' true ':
 Автоматично надстройване :: Автоматично рестартиране „вярно“;
Стъпка 5
След конфигуриране на това автоматично рестартиране, сървърът автоматично ще се рестартира, след като всички пакети за актуализация са инсталирани. Можем обаче да конфигурираме времето за рестартиране на сървъра, като декомментираме съответния ред за конфигуриране и променим стойността на рестартиране по следния начин:
 Unatetended-Upgrade :: Automatic-Reboot-Time "00:00";
Стъпка 6
Запазваме промените, като използваме следната комбинация от клавиши:

Ctrl + O

Оставяме редактора, използвайки:

Ctrl + X

6. Активирайте автоматичните актуализации в Ubuntu 17.10

Етап 1
За да активираме автоматичните актуализации на пакети в Ubuntu 17.10, трябва да редактираме конфигурацията за автоматични актуализации, като влезем в следната директория:

 cd /etc/apt/apt.conf.d/
Стъпка 2
след като влезем, ще използваме редактор за достъп до следния файл:
 sudo nano 20автоматични надстройки
Стъпка 3
В разгърнатия файл ще добавим следното:
 APT :: Periodic :: Update-Package-Lists "1"; APT :: Периодично :: Изтегляне-надграждащи се пакети "1"; APT :: Периодичен :: AutocleanInterval "3"; APT :: Периодично :: Без надзор-ъпгрейд "1";

Стъпка 4
Запазваме промените, като използваме следната комбинация от клавиши:

Ctrl + O

Оставяме редактора, използвайки:

Ctrl + X

Стъпка 5
Добавените или конфигурирани редове са:

Списъци с актуализации-пакети1 позволява автоматично актуализиране, 0 за деактивиране.

Пакети за изтегляне и надграждане1 активира пакета за автоматично изтегляне, 0, за да го деактивира.

AutocleanIntervalПозволява активиране на пакети за самопочистване за X дни. Конфигурацията показва 3-дневни пакети за самопочистване.

Без надзор-надстройка1 позволява автоматично актуализиране, 0 за деактивиране.
В този момент всички актуализации на защитата ще бъдат изтеглени автоматично и след това инсталирани в операционната система.

7. Проверете регистрационните файлове за неактуализирани актуализации 17.10


За да идентифицираме всички надстроени пакети, трябва да проверим регистрационните файлове без надстройка, разположени в директорията / bar / log / unattended-upgrades.

Етап 1
Можем да отидем в директорията / var / log / unattended-upgrades и да проверим наличните регистрационни файлове:

 cd / var / log / unattended -upgradesls -lah

Стъпка 2
Там можем да видим три регистрационни файла:

unattended-upgrades-dpkg.logТя включва без надзор актуализации на регистрите на действията за актуализиране, актуализиране или премахване на пакети.

unattended-upgrades.logТова е лог файл без надзор. Той включва списък с пакети за актуализиране / надграждане, списък с пакети от черен списък и съобщение за грешка без надзор (ако има грешка).

unattended-upgrades-shutdown.log файлОтнася се до събития за изключване.

Стъпка 3
За проверка на рестартирането на системата можем да използваме следната команда:

 последно рестартиране

С тези практически опции можем да конфигурираме според нуждите, които са в момента в организацията.

wave wave wave wave wave