Kako omogućiti i konfigurirati nadogradnje bez nadzora na Debianu 11

Održavanje vašeg sustava ažurnim važan je čimbenik za sve, od jednostavnih korisnika stolnih računala, programera, administratora sustava; pa, da se razumijemo, svatko tko ima uređaj koji je posebno povezan s internetom. Debian, prema zadanim postavkama, nije postavljen za automatska ažuriranja. Međutim, s omogućavanjem i konfiguriranjem paketa nadogradnje bez nadzora, možete jednostavno primijeniti sigurnosne, paketne ili čak nove nadogradnje značajki na lak, jednostavan i učinkovit način ako nemate uvijek vremena provjeriti ili zaboraviti. Toplo se preporučuje da to omogućite samo radi sigurnosti.

Sljedeći vodič će pokazati kako instalirati i/ili omogućiti i konfigurirati nenadzirane nadogradnje na Debianu 11.

Preduvjeti

  • Preporučeni OS: Debian 11 Bullseye ili Debian 10, 9 ili bilo koji još uvijek ažurirani Debian sustav.
  • Korisnički račun: Korisnički račun sa sudo privilegije or root pristup (su naredba).

Ažuriranje operativnog sustava

Ažurirajte svoj Debian 11 operativni sustav kako biste bili sigurni da su svi postojeći paketi ažurirani:

sudo apt update && sudo apt upgrade

Root ili Sudo pristup

Prema zadanim postavkama, kada kreirate svoj račun pri pokretanju s Debianom u usporedbi s drugim distribucijama, on ne dobiva automatski status sudoers. Morate imati pristup root lozinka koristiti naredba su ili posjetite naš vodič na Kako dodati korisnika u Sudoers na Debianu.

Oglas

Instalirajte paket nadogradnji bez nadzora

Prvo, ako niste instalirali nenadzirane nadogradnje ili ste uklonili paket, morate ga ponovno instalirati sljedećom naredbom:

sudo apt install unattended-upgrades

Prema zadanim postavkama, ovo bi trebalo biti instalirano.

Također ćete trebati instalirajte paket apt-config-auto-update ako želite da se vaš Debian sustav ponovno pokrene nakon primjene nadogradnji koje zahtijevaju automatsko ponovno pokretanje sustava. Da biste to učinili, koristite sljedeću naredbu u nastavku:

sudo apt install apt-config-auto-update

Za korisnike prijenosnih računala morat ćete instalirati paket powermgmt-base ako planirate koristiti bilo koju opciju bez nadzora koja koristi opcije baterije.

sudo apt install powermgmt-base

Kada se instalacija završi, Debian bi prema zadanim postavkama trebao pokrenuti proces. Za provjeru koristite sljedeću naredbu:

sudo systemctl status unattended-upgrades

Primjer rezultata:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11

Sljedeće systemctl naredbe objasnit će vam opcije koje morate pokrenuti, zaustaviti, omogućiti pri pokretanju, onemogućiti pri pokretanju ili ponovno pokrenuti uslugu nenadziranih nadogradnji:

Za pokretanje nenadziranih usluga:

sudo systemctl start unattended-upgrades

Za zaustavljanje usluga bez nadzora:

sudo systemctl stop unattended-upgrades

Da biste omogućili pri pokretanju nenadzirane usluge:

sudo systemctl enable unattended-upgrades

Da biste onemogućili pri pokretanju nenadzirane usluge:

sudo systemctl disable unattended-upgrades

Da biste ponovno pokrenuli usluge bez nadzora:


sudo systemctl restart unattended-upgrades

Konfigurirajte nadogradnje bez nadzora

Nakon provjere ili instaliranja nadogradnje bez nadzora, sada uređujemo 50nadogradnje bez nadzora konfiguracijske datoteke koristeći svoj omiljeni uređivač teksta terminala. Odavde možete konfigurirati nadogradnje bez nadzora iz nekih primjera u ovom vodiču i istražiti neke druge manje korištene opcije; dokumentacija u konfiguracijskoj datoteci daje dobro objašnjenje svake postavke za sebe.

To možete učiniti pomoću sljedeće naredbe:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Primjer otvaranja prozora i prvi pogled:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11

Dopušteno - podrijetlo i ažuriranja

Paket nadogradnje bez nadzora neće obraditi linije koje počinju s // sintaksa. Prema zadanim postavkama, samo se sigurnosna ažuriranja automatski instaliraju, kao što je prikazano u redcima ispod. Bilo bi najbolje da nikada ne onemogućite sigurnosna ažuriranja; međutim, ovdje možete dodati dodatne opcije.

Na primjer, da biste uključili uobičajena ažuriranja paketa koja su prema zadanim postavkama isključena:

Promjena iz:

//      "${distro_id}:${distro_codename}-updates";

Promijenite da biste omogućili:

       "${distro_id}:${distro_codename}-updates";

Primjer konfiguracije koja dolazi sa zadanim postavkama (preporučeno za većinu korisnika):

Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        // Extended Security Maintenance; doesn't necessarily exist for
        // every release and this system may not have it installed, but if
        // available, the policy for updates is such that unattended-upgrades
        // should also install from here by default.
        "${distro_id}ESMApps:${distro_codename}-apps-security";
        "${distro_id}ESM:${distro_codename}-infra-security";
//      "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";
};

Primjer u živom okruženju:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11

Da biste ga još više rastavili, opcije koje možete omogućiti osim zadanih:

  • “${distro_id}:${distro_codename}-ažuriranja”; – ova će opcija biti ista kao pokretanje sudo apt ažuriranja u vašem terminalu za povlačenje ažuriranja paketa. Najčešće, to nije preporučljivo jer je određenim paketima potrebna ručna intervencija prilikom nadogradnje, ako postavite ovaj make set na crnu listu određenih paketa za koje znate da će uzrokovati probleme ako se ažuriraju bez nadzora, kao što je objašnjeno kasnije u vodiču.
  • “${distro_id}:${distro_codename}-predloženo”; – ova opcija će povući ažuriranja iz testiranja, to se definitivno ne preporučuje svim korisnicima jer su paketi nestabilni i možda čak neće doći do živog okruženja.
  • “${distro_id}:${distro_codename}-backports”; – ova opcija će omogućiti backports koji se uglavnom koristi za ažuriranje paketa, ovo je obično stabilnije od predloženog, ali za opće pravilo trebate istražiti prije nego što ga uključite jer može uzrokovati nestabilnost.

Isključite pakete iz ažuriranja

Uz ažuriranja, neki paketi mogu postati nestabilni ili se potpuno pokvariti ako ne nadzirete proces. Na primjer, automatska nadogradnja Nginxa za korisnika koji ima preveden ModSecurity će se prekinuti; ovdje često nećete morati ništa popunjavati; ovo je samo za namjenske poslužitelje s paketima koji trebaju intervenciju.

Napomena, uvijek je bolje koristiti python izraze za podudaranje paketa:

Primjer iz

// Python regular expressions, matching packages to exclude from upgrading
Unattended-Upgrade::Package-Blacklist {
    // The following matches all packages starting with linux-
//  "linux-";

    // Use $ to explicitely define the end of a package name. Without
    // the $, "libc6" would match all of them.
//  "libc6$";
//  "libc6-dev$";
//  "libc6-i686$";

Primjer promjene također isključuje Nginx web aplikaciju:

// Python regular expressions, matching packages to exclude from upgrading
Unattended-Upgrade::Package-Blacklist {
    // The following matches all packages starting with linux-
  "nginx";

    // Use $ to explicitely define the end of a package name. Without
    // the $, "libc6" would match all of them.
//  "libc6$";
//  "libc6-dev$";
//  "libc6-i686$";

Primjer u živom okruženju:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11

Uklonite neiskorištene ovisnosti

Zatim nastavite na automatsko uklanjanje neiskorištenih ovisnosti, koji imaju tri opcije; zadana vrijednost je lažna. Međutim, opcionalno možete omogućiti ove postavke. U osnovi, ako automatski ažurirate paket, ovisnosti i/ili kernel i stari ostaci koji se više ne koriste više nisu potrebni; automatski će ih očistiti i ukloniti umjesto vas. To je obično uvijek sigurno za većinu korisnika.

Ako to ne želite učiniti, ostavite liniju netaknutom.

Primjer iz:

// Remove unused automatically installed kernel-related packages
// (kernel images, kernel headers and kernel version locked tools).
// Unattended-Upgrade::Remove-Unused-Kernel-Packages "true";

// Do automatic removal of newly unused dependencies after the upgrade
// Unattended-Upgrade::Remove-New-Unused-Dependencies "true";

// Do automatic removal of unused packages after the upgrade
// (equivalent to apt-get autoremove)
// Unattended-Upgrade::Remove-Unused-Dependencies "false";

Primjer promjene također:

// Remove unused automatically installed kernel-related packages
// (kernel images, kernel headers and kernel version locked tools).
Unattended-Upgrade::Remove-Unused-Kernel-Packages "true";

// Do automatic removal of newly unused dependencies after the upgrade
Unattended-Upgrade::Remove-New-Unused-Dependencies "true";

// Do automatic removal of unused packages after the upgrade
// (equivalent to apt-get autoremove)
Unattended-Upgrade::Remove-Unused-Dependencies "true";

Primjer u živom okruženju:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11
Oglas

Obavijesti e-poštom

Preporuča se postavljanje obavijesti e-poštom, osobito ako poslužitelji rade bez nadzora. U postavljanju je sjajna opcija odabrati e-poštu "na promjeni", tako da ćete primati obavijesti samo kada se softver promijeni. Alternativno, možete odabrati "samo u slučaju pogreške", tako da ćete primati obavijesti samo kada dođe do pogreške.

Preporuča se odabrati on-change jer biste trebali znati koja se ažuriranja događaju u vašem sustavu. Ovdje također možete postaviti adresu e-pošte:

Imajte na umu da će to zahtijevati da na vašem poslužitelju postavite e-poštu kako bi obavijesti radile.

Primjer iz:

// Send email to this address for problems or packages upgrades
// If empty or unset then no email is sent, make sure that you
// have a working mail setup on your system. A package that provides
// 'mailx' must be installed. E.g. "user@example.com"
//Unattended-Upgrade::Mail "";

Primjer promjene također:

// Send email to this address for problems or packages upgrades
// If empty or unset then no email is sent, make sure that you
// have a working mail setup on your system. A package that provides
// 'mailx' must be installed. E.g. "user@example.com"
Unattended-Upgrade::Mail "EMAILNAME@YOURDOMAIN.COM";

Primjer u živom okruženju:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11

Druga opcija za obavijesti putem e-pošte je o tome o čemu zapravo izvještavati. Za većinu korisnika dovoljan je samo on-error ili on-change; postavljanje izvješćivanja na uvijek će uzrokovati potencijalno mnogo neželjenih e-poruka, ali za kritične sustave to može biti opravdano.

U nastavku je primjer za samo u slučaju pogreške, što je u redu za korisnike stolnih računala u okruženjima koja nisu proizvodnja/web poslužitelj:

Primjer iz:

// Set this value to one of:
//    "always", "only-on-error" or "on-change"
// If this is not set, then any legacy MailOnlyOnError (boolean) value
// is used to chose between "only-on-error" and "on-change"
//Unattended-Upgrade::MailReport "on-change";

Primjer promjene također:

// Set this value to one of:
//    "always", "only-on-error" or "on-change"
// If this is not set, then any legacy MailOnlyOnError (boolean) value
// is used to chose between "only-on-error" and "on-change"
Unattended-Upgrade::MailReport "only-on-error";

Primjer u živom okruženju:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11

Mogućnosti automatskog ponovnog pokretanja

Pomaknite se prema dolje do opcije Automatsko ponovno pokretanje. Prema zadanim postavkama, ovo je isključeno, a gotovo sva stolna računala, a posebno poslužitelji s namjenskim softverom i/ili uslugama to neće imati uključeno jer često može uzrokovati velike prekide tim softverskim uslugama.

Ipak, pretpostavimo da vaše usluge služe samo nekolicini ljudi. U tom slučaju, ova opcija bi mogla biti izvodljiva. Sustavi Linux/Ubuntu obično će se ponovno pokrenuti samo zbog ažuriranja kernela Linuxa koji je kritičan, ali imam automatske obavijesti o promjenama. Znat ću da će to trebati učiniti i mogu to planirati.

Primjer iz:

// Automatically reboot *WITHOUT CONFIRMATION* if
//  the file /var/run/reboot-required is found after the upgrade
//Unattended-Upgrade::Automatic-Reboot "false";

Primjer promjene također:

// Automatically reboot *WITHOUT CONFIRMATION* if
//  the file /var/run/reboot-required is found after the upgrade
Unattended-Upgrade::Automatic-Reboot "true";

Primjer u živom okruženju:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11

Ako omogućite opciju, možete postaviti ponovno pokretanje s prijavljenim korisnicima ili ne. Ovo bi trebalo biti onemogućeno, budući da korisnici koji su prijavljeni i koji su prisiljeni izaći zbog ponovnog pokretanja mogu uzrokovati prekide u radnom okruženju, a da ne spominjemo frustraciju tog korisnika koji je prijavljen.

Međutim, ako želite ovo na:

Primjer iz:

// Automatically reboot even if there are users currently logged in
// when Unattended-Upgrade::Automatic-Reboot is set to true
//Unattended-Upgrade::Automatic-Reboot-WithUsers "true";

Primjer promjene također:

// Automatically reboot even if there are users currently logged in
// when Unattended-Upgrade::Automatic-Reboot is set to true
Unattended-Upgrade::Automatic-Reboot-WithUsers "true";

Primjer u živom okruženju:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11

Ako imate mali poslužitelj u određenoj vremenskoj zoni i znate dobro vrijeme za ponovno pokretanje, recimo 2 ujutro, a zatim prilagodite sljedeće:

Primjer iz:

// If automatic reboot is enabled and needed, reboot at the specific
// time instead of immediately
//  Default: "now"
//Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Primjer promjene također:

// If automatic reboot is enabled and needed, reboot at the specific
// time instead of immediately
//  Default: "now"
Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Primjer u živom okruženju:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11

Konačna kontrolna lista za nadogradnje bez nadzora

Kako biste bili sigurni da su datoteke automatske nadogradnje prisutne u direktoriju /etc/apt/apt.conf.d/ korištenjem sljedećih naredbi:

cd /etc/apt/apt.conf.d
ls

Primjer rezultata:

ls
00CDMountPoint	      10periodic      20packagekit	     60icons
00trustcdrom	      15update-stamp  20snapd.conf	     70debconf
01autoremove	      20archive       50appstream
01autoremove-kernels  20listchanges   50unattended-upgrades

Sada otvorite datoteku /etc/apt/apt.conf.d/20auto- nadogradnje:

sudo nano /etc/apt/apt.conf.d/20auto-upgrades

Primjer rezultata:

Trebali biste vidjeti kod naredbe ispod u sljedećoj datoteci. Ako ne, kopirajte i zalijepite:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

Prema zadanim postavkama, postavka "1" je omogućena. Međutim, ako ga želite onemogućiti, možete ga promijeniti u "0". Ako ne želite provjeravati svaki dan, nastavite mijenjati broj u "2", što omogućuje provjeru automatske nadogradnje svaki drugi dan. U našem vodiču, na primjer, samo smo ga mi promijenili u 2. Preporučujemo da ovaj skup ostavite na "1":

Primjer u živom okruženju:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11

Spremite datoteku (CTRL+O), tada pritisnite Y, zatim za izlaz pritisnite (CTRL+X) da biste napustili uređivač teksta.

Oglas

Stvorite Cronjob za nadogradnje bez nadzora

Po želji, ako želite potpunu kontrolu nad vremenom vaših automatskih nadogradnji, možete stvoriti cronjob. Da biste to učinili, prvo otvorite crontab:

sudo crontab -e

Zatim dodajte ovaj redak na dno posljednjeg unosa; možete izmijeniti "vrijeme" kako god želite. Ako ste novi u Linuxu, posjetite Crontab.Guru, u kojem možete dobiti pomoć, napraviti i testirati vrijeme postavki crona.

U nastavku će biti prikazano trčanje točno svaki 3. dan, u 4:00 ujutro.

Primjer:

00 04 * * */3 /usr/bin/unattended-upgrade -v

Primjer u živom okruženju:

Kako omogućiti i konfigurirati nenadzirane nadogradnje Debian 11

Spremite datoteku (CTRL+O), tada pritisnite Y, zatim za izlaz pritisnite (CTRL+X) da biste napustili uređivač teksta.

Kako pristupiti zapisnicima nadogradnji bez nadzora

Konačno, bez nadzora nadograđuje zapisnike u svoj direktorij, tako da ako želite provjeriti datoteke dnevnika za bilo kakve probleme i pronaći pogreške, možete ih pronaći na sljedećem putu:

/var/log/unattended-upgrades/
Oglas

Dodatni alati – Provjerite ponovno pokretanje (Debian Goodies)

Izvrstan program za provjeru jeste li se vratili na poslužitelj koji ima primijenjena automatska ažuriranja umjesto provjere dnevnika ili e-pošte je pokretanje naredba checkrestart koji će vas obavijestiti ako neki paketi zahtijevaju ponovno pokretanje.

Da biste instalirali checkrestart, pokrenite sljedeću naredbu:

sudo apt install debian-goodies -y

Sada pokrenite sljedeću naredbu da provjerite pakete koji zahtijevaju ponovno pokretanje:

sudo checkrestart


Primjer rezultata:

Found 0 processes using old versions of upgraded files

Kao što možete vidjeti, stroj koji tutorial koristi je ažuran; međutim, ako nešto treba ručno ponovno pokretanje, to bi bilo navedeno ovdje u izlazu.

Komentari i zaključak

Postavljanje nadogradnji bez nadzora kritičan je posao koji ulažete u postavljanje. Kao što je objašnjeno u našem vodiču, proces ima toliko opcija koje zadovoljavaju gotovo svačije potrebe, a čak i tada možete učiniti neke vanjske čimbenike da biste imali više opcija, na primjer, s cronjobovim.

U najmanju ruku, željeli biste ovo svakodnevno izvoditi radi sigurnosti i općeg mira.

Pretplati me
Obavijesti o
2 Komentari
Umetne povratne informacije
Pogledajte sve komentare

Bok Joshua, imaš pogrešku pri 'copy/paste':

Da biste omogućili pri pokretanju nenadzirane usluge:

sudo systemctl zaustaviti nenadzirane nadogradnje

trebao bi biti: sudo systemctl omogući nadogradnje bez nadzora

Hvala na vašem vodiču, štedi mi vrijeme da ga koristim kao podsjetnik i referencu.

2
0
Volio bih vaše misli, molim vas komentirajte.x