Перейти к основному контенту

Автоматические обновления безопасности (Unattended-Upgrades) на Debian 12

<p><strong>Unattended-Upgrades</strong> — это системная служба, которая в фоновом режиме автоматически скачивает и устанавливает критические патчи безопасности для операционной системы Debian. </p>

<div style="background-color: #f5f5f5; border-left: 4px solid #00bcd4; padding: 12px; margin-bottom: 20px;">
    <strong>Зачем это нужно:</strong> Новые уязвимости в Linux (включая ядро и системные библиотеки) появляются регулярно. Чтобы не мониторить трекеры уязвимостей вручную и не подвергать домашний сервер риску, эта служба сама закрывает «дыры» сразу после выхода официальных патчей, обновляя <em>только</em> компоненты безопасности и не трогая остальной софт.
</div>

<hr />

<h2>Шаг 1. Проверка и установка пакета</h2>
<p>Для начала проверим, установлен ли необходимый инструмент в системе. Откройте терминал и выполните команду:</p>

<pre><code class="language-bash">dpkg -l | grep unattended-upgrades</code></pre>

<p>Если служба отсутствует, устанавливаем её вместе со вспомогательной утилитой отслеживания изменений:</p>

<pre><code class="language-bash">sudo apt update &amp;&amp; sudo apt install unattended-upgrades apt-listchanges -y</code></pre>

<hr />

<h2>Шаг 2. Активация автоматического режима</h2>
<p>Чтобы заставить службу работать по расписанию, её нужно явно активировать в системе. Выполните команду переконфигурации:</p>

<pre><code class="language-bash">sudo dpkg-reconfigure -plow unattended-upgrades</code></pre>

<p>В появившемся псевдографическом окне выберите вариант <strong>Yes (Да)</strong> и нажмите <strong>Enter</strong>.</p>

<hr />

<h2>Шаг 3. Настройка автоматической перезагрузки</h2>
<p>Некоторые патчи (например, обновления ядра Linux) вступают в силу только после перезагрузки. Настроим сервер так, чтобы он сам перезагружался в глубокую ночь, если это необходимо для безопасности.</p>

<p>1. Откройте конфигурационный файл:</p>
<pre><code class="language-bash">sudo nano /etc/apt/apt.conf.d/50unattended-upgrades</code></pre>

<p>2. Найдите (через <code>Ctrl + W</code>) и раскомментируйте (уберите символы <code>//</code>) следующие строки, приведя их к такому виду:</p>

<pre><code class="language-nginx">Unattended-Upgrade::Automatic-Reboot "true";
Unattended-Upgrade::Automatic-Reboot-Time "04:00";</code></pre>

<p>3. Сохраните файл (<code>Ctrl + O</code>, затем <code>Enter</code>, и выход <code>Ctrl + X</code>).</p>

<hr />

<h2>Шаг 4. Проверка статуса и симуляция</h2>
<p>Убедимся, что служба активна и успешно запущена в системе:</p>

<pre><code class="language-bash">sudo systemctl status unattended-upgrades</code></pre>

<p>Чтобы убедиться, что конфигурация написана без ошибок, можно запустить «холостой» тест (имитацию обновления без внесения изменений):</p>

<pre><code class="language-bash">sudo unattended-upgrades --dry-run --debug</code></pre>

<div style="background-color: #f9f9f9; border-left: 4px solid #4caf50; padding: 12px; margin-top: 15px;">
    <strong>Готово!</strong> Теперь периметр сервера защищен на уровне операционной системы, а критические уязвимости будут закрываться автоматически без вашего участия.
</div>