Configura gli aggiornamenti di sicurezza automatici Ubuntu 17.10

In questi giorni di attacco a livello di rete, bisogna sottolineare maggiormente l'importanza di avere un sistema operativo aggiornato con le ultime patch di sicurezza rilasciate dal produttore.

Esistono diversi tipi di aggiornamenti, driver, applicazioni, sistema, ma uno dei più importanti e delicati sono gli aggiornamenti di sicurezza. Sebbene Linux sia elencato come uno dei sistemi operativi più sicuri, in realtà lo è, ciò non esclude che sia soggetto a qualche tipo di attacco.

Quando viene lanciata una nuova edizione di un sistema operativo, come in questo caso Ubuntu 17.10, la cosa più consigliata per lo sviluppatore è aggiornare il sistema a livello di sicurezza nei prossimi 30 giorni.

Oggi affronteremo un argomento molto utile a livello gestionale e cioè quello di programmare il download e l'installazione automatica degli aggiornamenti di sicurezza per Ubuntu 17 e quindi risparmieremo tempo e saremo sicuri che il sistema avrà sempre gli ultimi aggiornamenti.

1. Aggiorna i pacchetti e installa aggiornamenti non presidiati su Ubuntu 17.10

Passo 1
Il primo passo da compiere è aggiornare i pacchetti installati sul sistema eseguendo il seguente comando:

 sudo apt update
Passo 2
Una volta aggiornati i pacchetti di sistema, procediamo con l'installazione degli aggiornamenti automatici utilizzando il comando apt di quanto segue:
 sudo apt install unttended-upgrades

2. Modifica la directory di configurazione in Ubuntu 17.10

Dopo l'installazione, sarà necessario modificare la configurazione nella directory di configurazione /etc/apt/apt.conf.d.
La configurazione degli aggiornamenti non presidiati è disponibile nella suddetta directory, quindi dobbiamo modificare la configurazione per definire il tipo di aggiornamento, gli aggiornamenti della lista nera e configurare qualsiasi configurazione aggiuntiva che viene presentata nel processo.

Passo 1
Per questo andremo nella directory /etc/apt/apt.conf.d e modificheremo il file di configurazione 50unattended-upgrades usando l'editor nano:

 cd /etc/apt/apt.conf.d/sudo nano 50unttended-upgrades
Passo 2
Questo sarà simile al file:

3. Definire il tipo di aggiornamento in Ubuntu 17.10


Sarà necessario definire un tipo di aggiornamento e/o upgrade per il sistema operativo. Il pacchetto di aggiornamento automatico fornisce una sorta di aggiornamento automatico, incluso l'aggiornamento di tutti i pacchetti e solo gli aggiornamenti di sicurezza. In questo caso, abiliteremo solo l'aggiornamento di sicurezza per Ubuntu 17.10.

Nella configurazione del primo blocco "Origini consentite", commenteremo tutte le righe e lasceremo solo la riga di sicurezza come segue:

 Aggiornamento automatico :: Origini consentite {// "$ {distro_id}: $ {distro_codename}"; "$ {distro_id}: $ {distro_codename} -security"; // Manutenzione estesa della sicurezza; non esiste necessariamente per // ogni versione e questo sistema potrebbe non averlo installato, ma se // disponibile, la politica per gli aggiornamenti è tale che anche gli aggiornamenti automatici // dovrebbero essere installati da qui per impostazione predefinita. // "$ {distro_id} ESM: $ {distro_codename}"; // "$ {distro_id}: $ {distro_codename} -updates"; // "$ {distro_id}: $ {distro_codename} -proposto"; // "$ {distro_id}: $ {distro_codename} -backports";

4. Configura i pacchetti della lista nera in Ubuntu 17.10


Nel secondo blocco, c'è la configurazione del pacchetto della lista nera. Lì possiamo definire quali pacchetti sono consentiti per un aggiornamento e quali no. Questo è utile quando non vogliamo che alcuni pacchetti vengano aggiornati all'interno del sistema operativo.

In questa sezione, solo a titolo di esempio, non consentiremo l'aggiornamento di 'vim', 'mysql-server' e 'mysql-client', in questo caso la nostra configurazione della lista nera dovrebbe essere simile alla seguente struttura:

 Aggiornamento automatico :: Package-Blacklist {"vim"; "mysql-server"; "mysql-client"; // "libc6"; // "libc6-dev"; // "libc6-i686"; };

5. Configurazione aggiuntiva in Ubuntu 17.10


Successivamente sarà possibile aggiungere e abilitare alcune funzionalità fornite da aggiornamenti non presidiati. Ad esempio, possiamo impostare una notifica e-mail per ogni aggiornamento, abilitare la rimozione automatica dei pacchetti inutilizzati (apt autoremove automaticamente) e abilitare il riavvio automatico se necessario.

Passo 1
Per le notifiche e-mail, decommenta la seguente riga:

 Aggiornamento automatico :: Mail "root";
Passo 2
Se scegliamo di ricevere notifiche e-mail, dobbiamo assicurarci che i pacchetti mailx o sendmail siano installati sul sistema operativo. Questi possono essere installati utilizzando il seguente comando:
 sudo apt install -y sendmail
Passaggio 3
Per abilitare la rimozione automatica dei pacchetti inutilizzati, rimuoveremo il commento dalla riga seguente e ne modificheremo il valore in true:
 Aggiornamento automatico :: Rimuovi dipendenze inutilizzate "true";
Passaggio 4
E se vogliamo un riavvio automatico dopo l'aggiornamento, se necessario, rimuoveremo il commento dal riavvio automatico "e modificheremo il valore in" true ":
 Aggiornamento automatico :: Riavvio automatico "true";
Passaggio 5
Dopo aver configurato questo riavvio automatico, il server si riavvierà automaticamente dopo che tutti i pacchetti di aggiornamento sono stati installati. Tuttavia, possiamo configurare il tempo di riavvio del server decommentando la riga di configurazione corrispondente e modificando il valore di riavvio in questo modo:
 Aggiornamento automatico :: Tempo di riavvio automatico "00:00";
Passaggio 6
Salviamo le modifiche utilizzando la seguente combinazione di tasti:

Ctrl + O

Lasciamo l'editor utilizzando:

Ctrl + X

6. Abilita gli aggiornamenti automatici in Ubuntu 17.10

Passo 1
Per abilitare gli aggiornamenti automatici dei pacchetti in Ubuntu 17.10, dobbiamo modificare la configurazione degli aggiornamenti automatici accedendo alla seguente directory:

 cd /etc/apt/apt.conf.d/
Passo 2
una volta effettuato l'accesso, utilizzeremo un editor per accedere al seguente file:
 sudo nano 20 aggiornamenti automatici
Passaggio 3
Nel file distribuito aggiungeremo quanto segue:
 APT :: Periodico :: Aggiorna-Pacchetti-Liste "1"; APT :: Periodico :: Pacchetti aggiornabili da scaricare "1"; APT :: Periodico :: AutocleanInterval "3"; APT :: Periodico :: Aggiornamento automatico "1";

Passaggio 4
Salviamo le modifiche utilizzando la seguente combinazione di tasti:

Ctrl + O

Lasciamo l'editor utilizzando:

Ctrl + X

Passaggio 5
Le linee aggiunte o configurate sono:

Aggiorna-Pacchetti-Liste1 abilita l'aggiornamento automatico, 0 per disabilitarlo.

Pacchetti aggiornabili da scaricare1 abilita il pacchetto di download automatico, 0 per disabilitarlo.

Intervallo di pulizia automaticaConsente di abilitare i pacchetti autopulenti per X giorni. La configurazione mostra i pacchetti autopulenti di 3 giorni.

Aggiornamento automatico1 abilita l'aggiornamento automatico, 0 per disabilitarlo.
A questo punto, tutti gli aggiornamenti di sicurezza verranno scaricati automaticamente e quindi installati sul sistema operativo.

7. Verifica i registri per gli aggiornamenti non presidiati 17.10


Per identificare tutti i pacchetti aggiornati, è necessario controllare i registri di aggiornamento non presidiati che si trovano nella directory /bar/log/unattended-upgrades.

Passo 1
Possiamo andare nella directory /var/log/unattended-upgrades e controllare i log disponibili:

 cd / var / log / unttended-upgradesls -lah

Passo 2
Lì possiamo vedere tre registri:

unttended-upgrades-dpkg.logImplica aggiornamenti non presidiati ai registri delle azioni per aggiornare, aggiornare o rimuovere i pacchetti.

unttended-upgrades.logÈ un file di registro non presidiato. Include l'elenco dei pacchetti di aggiornamento/aggiornamento, l'elenco dei pacchetti della lista nera e il messaggio di errore automatico (se c'è un errore).

unttended-upgrades-shutdown.log fileSi riferisce agli eventi di spegnimento.

Passaggio 3
Per la verifica dei riavvii del sistema, possiamo utilizzare il seguente comando:

 ultimo riavvio

Con queste pratiche opzioni possiamo configurare in base alle esigenze che sono attualmente nell'organizzazione.

wave wave wave wave wave