Automatische Updates

Um Linux Server automatisch auf dem neusten Stand zu halten und somit den besten Schutz gegen Angriffe bieten zu können, bieten sich die automatischen Updates an.

Hierfür steht das Paket unattended-upgrades bereit, welches ggf. mit folgenden Befehl nachinstalliert werden muss:

sudo apt -y install unattended-upgrades

Nach der Installation können die Auto-Updates wie folgt aktiviert werden:

sudo dpkg-reconfigure -plow unattended-upgrades

Zusätzlich sind noch einige Einstellungen vorzunehmen, damit auch wirklich alle Updates automatisch eingespielt werden.

Zuerst wird der automatische Neustart aktiviert, damit nach der Installation von Updates auch ein Neustart, sofern notwendig, durchgeführt wird. Hierfür ist die Konfigurationsdatei /etc/apt/apt.conf.d/50unattended-upgrades anzupassen. Diese enthält diverse Einstellungen, also am besten nach Automatic-Reboot suchen, auskommentieren und auf true ändern, wie im folgenden Beispiel zu sehen.

// Automatically reboot *WITHOUT CONFIRMATION* if
//  the file /var/run/reboot-required is found after the upgrade
Unattended-Upgrade::Automatic-Reboot "true";

Die Datei noch nicht schließen, denn standardmäßig werden nur Sicherheitsupdates installiert. Also in der selben Konfigurationsdatei nach folgender Zeile suchen und die Kommentarzeichen entfernen.

"${distro_id}:${distro_codename}-updates";

Nun können wir noch den Zeitpunkt anpassen, wann nach Updates gesucht und wann diese Installiert werden sollen. Dazu dient der folgenden Befehl, mit dessen Hilfe die Konfigurationsdatei bearbeitet wird.

sudo systemctl edit apt-daily.timer

Daraufhin öffnet sich die Konfiguration für die Update-Suche. Um die Updates z. B. jeden Tag um 01:00 Uhr automatisch suchen ~~und installieren~~ zu lassen, wird die Update-Suche wie folgt konfiguriert.

### Editing /etc/systemd/system/apt-daily.timer.d/override.conf
### Anything between here and the comment below will become the new contents of the file

[Timer]
OnCalendar=
OnCalendar=01:00
RandomizedDelaySec=0

### Lines below this comment will be discarded

### /lib/systemd/system/apt-daily.timer
# [Unit]
# Description=Daily apt download activities
# 
# [Timer]
# OnCalendar=*-*-* 6,18:00
# RandomizedDelaySec=12h
# Persistent=true
# 
# [Install]
# WantedBy=timers.target

Die ~~Installation der Updates wird anschließend automatisch gestartet, wenn die~~ Konfiguration für die Installation ~~nicht~~der ~~geändert~~Updates ~~wurde.~~könnte z. B. wie folgt gestaltet werden, um diese eine halbe Stunde nach der Suche zu installieren.

sudo systemctl edit apt-daily-upgrade.timer

Und folgendes in die Konfigurationsdatei.

### Editing /etc/systemd/system/apt-daily-upgrade.timer.d/override.conf
### Anything between here and the comment below will become the new contents of the file

[Timer]
OnCalendar=
OnCalendar=01:30
RandomizedDelaySec=0

### Lines below this comment will be discarded

### /lib/systemd/system/apt-daily-upgrade.timer
# [Unit]
# Description=Daily apt upgrade and clean activities
# After=apt-daily.timer
# 
# [Timer]
# OnCalendar=*-*-* 6:00
# RandomizedDelaySec=60m
# Persistent=true
# 
# [Install]
# WantedBy=timers.target

Nun noch ~~den~~die ~~Dienst einmal~~Dienste neu starten und den Status prüfen.

sudo systemctl restart apt-daily.timer
sudo systemctl restart apt-daily-upgrade.timer 
sudo systemctl status apt-daily.timer
sudo systemctl status apt-daily-upgrade.timer