Перейти к основному контенту

Автоматические обновления безопасности (Unattended-Upgrades) на Debian 12

Unattended-Upgrades — это системная служба, которая в фоновом режиме автоматически скачивает и устанавливает критические патчи безопасности для операционной системы Debian.

    Зачем это нужно: Новые уязвимости в Linux (включая ядро и системные библиотеки) появляются регулярно. Чтобы не мониторить трекеры уязвимостей вручную и не подвергать домашний сервер риску, эта служба сама закрывает «дыры» сразу после выхода официальных патчей, обновляя только компоненты безопасности и не трогая остальной софт.

Шаг 1. Проверка и установка пакета

Для начала проверим, установлен ли необходимый инструмент в системе. Откройте терминал и выполните команду:

dpkg -l | grep unattended-upgrades

Если служба отсутствует, устанавливаем её вместе со вспомогательной утилитой отслеживания изменений:

sudo apt update && sudo apt install unattended-upgrades apt-listchanges -y

Шаг 2. Активация автоматического режима

Чтобы заставить службу работать по расписанию, её нужно явно активировать в системе. Выполните команду переконфигурации:

sudo dpkg-reconfigure -plow unattended-upgrades

В появившемся псевдографическом окне выберите вариант Yes (Да) и нажмите Enter.


Шаг 3. Настройка автоматической перезагрузки

Некоторые патчи (например, обновления ядра Linux) вступают в силу только после перезагрузки. Настроим сервер так, чтобы он сам перезагружался в глубокую ночь, если это необходимо для безопасности.

1. Откройте конфигурационный файл:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

2. Найдите (через Ctrl + W) и раскомментируйте (уберите символы //) следующие строки, приведя их к такому виду:

Unattended-Upgrade::Automatic-Reboot "true";
Unattended-Upgrade::Automatic-Reboot-Time "04:00";

3. Сохраните файл (Ctrl + O, затем Enter, и выход Ctrl + X).


Шаг 4. Проверка статуса и симуляция

Убедимся, что служба активна и успешно запущена в системе:

sudo systemctl status unattended-upgrades

Чтобы убедиться, что конфигурация написана без ошибок, можно запустить «холостой» тест (имитацию обновления без внесения изменений):

sudo unattended-upgrades --dry-run --debug
    Готово! Теперь периметр сервера защищен на уровне операционной системы, а критические уязвимости будут закрываться автоматически без вашего участия.