Ki jan yo Pèmèt & Konfigirasyon Mizajou poukont yo sou Debian 11

Kenbe sistèm ou a ajou se yon faktè enpòtan pou nenpòt moun ki soti nan itilizatè Desktop senp, devlopè, sysadmin; byen, kite a fè fas a li, nenpòt moun ki gen yon aparèy ki se espesyalman konekte ak entènèt la. Debian, pa default, pa mete kanpe pou mizajou otomatik yo. Sepandan, ak pèmèt ak konfigirasyon pakè amelyorasyon poukont yo, ou ka fasilman aplike sekirite, pake, oswa menm nouvo amelyorasyon karakteristik nan yon fason fasil, senp, efikas si ou pa toujou gen tan pou tcheke oswa bliye. Li trè rekòmande pou pèmèt sa a jis pou sekirite pou kont li.

Tutorial sa a pral demontre ki jan yo enstale ak oswa pèmèt ak konfigirasyon poukont yo sou Debian 11.

Kondisyon

  • OS rekòmande: Debian 11 Bullseye oswa Debian 10, 9 oswa nenpòt sistèm Debian ki toujou ajou.
  • Kont itilizatè: Yon kont itilizatè ak sudo privilèj or aksè rasin (su kòmand).

Mete ajou sistèm operasyon

Mete ajou ou Debian 11 sistèm operasyon pou asire tout pakè ki egziste deja yo ajou:

sudo apt update && sudo apt upgrade

Rasin oswa Sudo Aksè

Pa default, lè ou kreye kont ou nan demaraj ak Debian konpare ak lòt distribisyon, li pa otomatikman resevwa estati sudoers. Ou dwe swa gen aksè a modpas rasin yo sèvi ak kòmandman su a oswa vizite leson patikilye nou an sou Ki jan yo ajoute yon itilizatè nan Sudoers sou Debian.


reklam


Enstale pake amelyorasyon poukont yo

Premyèman, si ou pa te enstale amelyorasyon poukont ou oswa ou te retire pake a, ou dwe re-enstale sa a ak lòd sa a:

sudo apt install unattended-upgrades

Pa default, sa a ta dwe enstale.

W ap bezwen tou enstale pake apt-config-auto-update a si ou vle sistèm Debian ou a rekòmanse apre ou fin aplike amelyorasyon ki mande sistèm rekòmanse otomatikman. Pou fè sa, sèvi ak lòd sa a anba a:

sudo apt install apt-config-auto-update

Pou itilizatè laptop, w ap bezwen enstale pake a powermgmt-baz si ou planifye pou itilize nenpòt opsyon poukont ou ki itilize opsyon batri.

sudo apt install powermgmt-base

Yon fwa enstalasyon an fini, pa default Debian ta dwe kòmanse pwosesis la. Pou verifye, sèvi ak lòd sa a:

sudo systemctl status unattended-upgrades

Egzanp pwodiksyon:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

Sa ki annapre yo kòmandman systemctl pral eksplike opsyon ou genyen pou kòmanse, sispann, aktive sou bòt, enfim sou bòt oswa rekòmanse sèvis amelyorasyon poukont yo:

Pou kòmanse sèvis poukont yo:

sudo systemctl start unattended-upgrades

Pou sispann sèvis poukont yo:

sudo systemctl stop unattended-upgrades

Pou pèmèt sou bòt sèvis yo poukont yo:

sudo systemctl enable unattended-upgrades

Pou enfim sou bòt sèvis yo poukont yo:

sudo systemctl disable unattended-upgrades

Pou rekòmanse sou sèvis poukont yo:


sudo systemctl restart unattended-upgrades

Konfigirasyon Mizajou poukont yo

Apre w fin tcheke oswa enstale yon ajou poukont ou, kounye a nou edite a 50 amelyorasyon poukont yo fichye konfigirasyon lè l sèvi avèk editè tèks tèminal ou pi renmen. Soti isit la, ou ka configured amelyorasyon poukont yo nan kèk nan egzanp ki nan leson patikilye sa a epi eksplore kèk nan lòt opsyon ki mwens itilize yo; dokiman ki nan dosye konfigirasyon an bay yon bon eksplikasyon sou chak anviwònman poukont li.

Ou ka fè sa ak lòd sa a:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Egzanp ouvèti fenèt ak premye gade:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

Pèmèt-Orijin ak Mizajou

Pake amelyorasyon poukont yo pa pral trete liy ki kòmanse avèk yo // sentaks. Pa default, sèlman mizajou sekirite yo enstale otomatikman, jan yo montre nan liy ki anba yo. Li ta pi bon si ou pa janm enfim mizajou sekirite; sepandan, ou ka ajoute opsyon adisyonèl isit la.

Pa egzanp, pou mete aktyalizasyon pakè nòmal ki koupe pa defo:

Chanje soti nan:

//      "${distro_id}:${distro_codename}-updates";

Chanje pou pèmèt:

       "${distro_id}:${distro_codename}-updates";

Egzanp konfigirasyon ki vini ak default (rekòmande pou pifò itilizatè):

Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        // Extended Security Maintenance; doesn't necessarily exist for
        // every release and this system may not have it installed, but if
        // available, the policy for updates is such that unattended-upgrades
        // should also install from here by default.
        "${distro_id}ESMApps:${distro_codename}-apps-security";
        "${distro_id}ESM:${distro_codename}-infra-security";
//      "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";
};

Egzanp nan yon anviwònman ap viv:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

Pou kraze li menm pi lwen opsyon ou ka pèmèt san konte default:

  • "${distro_id}:${distro_codename}-mizajou"; – opsyon sa a pral menm jan ak kouri mizajou sudo apt nan tèminal ou a pou rale mizajou pake yo. Pi souvan, sa a pa konseye paske sèten pakè bezwen entèvansyon manyèl lè amelyore, si ou mete make sa a mete nan lis nwa sèten pakè ou konnen ki pral lakòz pwoblèm si mete ajou poukont li jan yo eksplike pita nan leson patikilye a.
  • "${distro_id}:${distro_codename}-pwopoze"; – opsyon sa a pral rale mizajou nan tès la, sa a se defi pa rekòmande pou tout itilizatè yo kòm pakè yo enstab epi yo ka pa menm fè li nan yon anviwònman ap viv.
  • "${distro_id}:${distro_codename}-backports"; – opsyon sa a pral pèmèt backports ki se sitou itilize yo mete ajou pakè yo, sa a nòmalman pi estab pase pwopoze men pou yon règ dra ou ta dwe envestige anvan vire sa a sou kòm li ka lakòz enstabilite.

Ekskli Pakè nan Mizajou

Avèk mizajou, kèk pakè ka vin enstab oswa kraze nèt si w pa sipèvize pwosesis la. Pou egzanp, yon ajou otomatik Nginx pou yon itilizatè ki gen ModSecurity konpile pral kraze; ou souvan p ap bezwen ranpli anyen isit la; sa a se sèlman pou serveurs devwe kouri pakè ki bezwen entèvansyon.

Remake byen, li toujou pi bon pou itilize ekspresyon python pou matche pakè yo:

Egzanp soti nan

// Python regular expressions, matching packages to exclude from upgrading
Unattended-Upgrade::Package-Blacklist {
    // The following matches all packages starting with linux-
//  "linux-";

    // Use $ to explicitely define the end of a package name. Without
    // the $, "libc6" would match all of them.
//  "libc6$";
//  "libc6-dev$";
//  "libc6-i686$";

Egzanp chanjman tou eskli aplikasyon entènèt Nginx:

// Python regular expressions, matching packages to exclude from upgrading
Unattended-Upgrade::Package-Blacklist {
    // The following matches all packages starting with linux-
  "nginx";

    // Use $ to explicitely define the end of a package name. Without
    // the $, "libc6" would match all of them.
//  "libc6$";
//  "libc6-dev$";
//  "libc6-i686$";

Egzanp nan yon anviwònman ap viv:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

Retire Depandans ki pa itilize yo

Apre sa, ale nan oto-retire depandans ki pa itilize yo, ki gen twa opsyon; default la se fo. Sepandan, opsyonèlman ou ka pèmèt paramèt sa yo. Fondamantalman, si ou otomatikman mete ajou yon pake, depandans yo ak oswa nwayo a ak ansyen rès ki pa itilize ankò yo pa nesesè ankò; li pral otomatikman netwaye epi retire sa yo pou ou. Sa a nòmalman toujou an sekirite pou pifò itilizatè yo.

Si ou pa vle fè sa, Lè sa a, kite liy lan intact.

Egzanp soti nan:

// Remove unused automatically installed kernel-related packages
// (kernel images, kernel headers and kernel version locked tools).
// Unattended-Upgrade::Remove-Unused-Kernel-Packages "true";

// Do automatic removal of newly unused dependencies after the upgrade
// Unattended-Upgrade::Remove-New-Unused-Dependencies "true";

// Do automatic removal of unused packages after the upgrade
// (equivalent to apt-get autoremove)
// Unattended-Upgrade::Remove-Unused-Dependencies "false";

Egzanp chanjman tou:

// Remove unused automatically installed kernel-related packages
// (kernel images, kernel headers and kernel version locked tools).
Unattended-Upgrade::Remove-Unused-Kernel-Packages "true";

// Do automatic removal of newly unused dependencies after the upgrade
Unattended-Upgrade::Remove-New-Unused-Dependencies "true";

// Do automatic removal of unused packages after the upgrade
// (equivalent to apt-get autoremove)
Unattended-Upgrade::Remove-Unused-Dependencies "true";

Egzanp nan yon anviwònman ap viv:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

reklam


Imèl Notifikasyon

Yo rekòmande mete kanpe notifikasyon imel, espesyalman si yo kouri sèvè poukont li. Nan konfigirasyon an, yon bon opsyon se chwazi imel "sou-chanjman," kidonk, ou resevwa notifikasyon sèlman lè lojisyèl chanje. Altènativman, ou ka chwazi "sèlman-sou-erè," konsa ou resevwa notifikasyon sèlman lè yon erè te fèt.

Li rekòmande pou chwazi sou chanjman paske ou ta dwe konnen ki mizajou k ap pase nan sistèm ou an. Ou ka mete yon adrès imel isit la tou:

Remake byen, sa pral mande pou ou gen e-mails mete sou sèvè ou pou notifikasyon yo travay.

Egzanp soti nan:

// Send email to this address for problems or packages upgrades
// If empty or unset then no email is sent, make sure that you
// have a working mail setup on your system. A package that provides
// 'mailx' must be installed. E.g. "user@example.com"
//Unattended-Upgrade::Mail "";

Egzanp chanjman tou:

// Send email to this address for problems or packages upgrades
// If empty or unset then no email is sent, make sure that you
// have a working mail setup on your system. A package that provides
// 'mailx' must be installed. E.g. "user@example.com"
Unattended-Upgrade::Mail "EMAILNAME@YOURDOMAIN.COM";

Egzanp nan yon anviwònman ap viv:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

Dezyèm opsyon pou notifikasyon imel se sou sa ki aktyèlman pou rapòte. Pou pifò itilizatè, sèlman sou erè oswa sou chanjman ki ase; mete rapò a toujou ap antrene potansyèlman yon anpil nan imèl vle, men pou sistèm kritik, sa a ka jistifye.

Anba la a se yon egzanp pou sèlman-sou-erè, ki bon pou itilizatè Desktop nan anviwònman ki pa pwodiksyon / sèvè entènèt:

Egzanp soti nan:

// Set this value to one of:
//    "always", "only-on-error" or "on-change"
// If this is not set, then any legacy MailOnlyOnError (boolean) value
// is used to chose between "only-on-error" and "on-change"
//Unattended-Upgrade::MailReport "on-change";

Egzanp chanjman tou:

// Set this value to one of:
//    "always", "only-on-error" or "on-change"
// If this is not set, then any legacy MailOnlyOnError (boolean) value
// is used to chose between "only-on-error" and "on-change"
Unattended-Upgrade::MailReport "only-on-error";

Egzanp nan yon anviwònman ap viv:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

Opsyon rdemare otomatik yo

Desann nan opsyon rdemare otomatik la. Pa default, sa a se etenn, ak prèske tout Desktop yo ak espesyalman serveurs ki kouri lojisyèl dedye ak oswa sèvis pa pral gen sa a sou kòm li ka souvan lakòz gwo entèripsyon nan sèvis lojisyèl sa yo.

Toujou, sipoze sèvis ou yo sèvi sèlman kèk moun. Nan ka sa a, opsyon sa a ka solid pou gen sou. Sistèm Linux/Ubuntu pral sèlman tipikman rdemare akòz yon aktyalizasyon Kernel Linux ki enpòtan, men mwen gen notifikasyon otomatik pou chanjman. Mwen pral konnen li pral bezwen fè epi mwen ka planifye pou li.

Egzanp soti nan:

// Automatically reboot *WITHOUT CONFIRMATION* if
//  the file /var/run/reboot-required is found after the upgrade
//Unattended-Upgrade::Automatic-Reboot "false";

Egzanp chanjman tou:

// Automatically reboot *WITHOUT CONFIRMATION* if
//  the file /var/run/reboot-required is found after the upgrade
Unattended-Upgrade::Automatic-Reboot "true";

Egzanp nan yon anviwònman ap viv:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

Si ou pèmèt opsyon a, ou ka mete rekòmanse ak itilizatè ki konekte oswa ou pa. Sa a ta dwe enfim, kòm itilizatè yo konekte epi yo te fòse soti akòz yon rdemare ka lakòz entèripsyon nan anviwònman travay, nou pa mansyone fristrasyon itilizatè sa a ki konekte.

Sepandan, si ou ta prefere sa a sou:

Egzanp soti nan:

// Automatically reboot even if there are users currently logged in
// when Unattended-Upgrade::Automatic-Reboot is set to true
//Unattended-Upgrade::Automatic-Reboot-WithUsers "true";

Egzanp chanjman tou:

// Automatically reboot even if there are users currently logged in
// when Unattended-Upgrade::Automatic-Reboot is set to true
Unattended-Upgrade::Automatic-Reboot-WithUsers "true";

Egzanp nan yon anviwònman ap viv:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

Si ou gen yon ti sèvè nan yon zòn lè patikilye epi ou konnen yon bon moman pou rekòmanse, di 2 am epi ajiste sa ki annapre yo:

Egzanp soti nan:

// If automatic reboot is enabled and needed, reboot at the specific
// time instead of immediately
//  Default: "now"
//Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Egzanp chanjman tou:

// If automatic reboot is enabled and needed, reboot at the specific
// time instead of immediately
//  Default: "now"
Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Egzanp nan yon anviwònman ap viv:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

Lis Verifikasyon Final pou Amelyorasyon poukont yo

Pou asire w ke dosye yo ajou otomatik yo prezan nan anyè a /etc/apt/apt.conf.d/ lè l sèvi avèk kòmandman sa yo:

cd /etc/apt/apt.conf.d
ls

Egzanp pwodiksyon:

ls
00CDMountPoint	      10periodic      20packagekit	     60icons
00trustcdrom	      15update-stamp  20snapd.conf	     70debconf
01autoremove	      20archive       50appstream
01autoremove-kernels  20listchanges   50unattended-upgrades

Koulye a, louvri dosye a /etc/apt/apt.conf.d/20auto-upgrades:

sudo nano /etc/apt/apt.conf.d/20auto-upgrades

Egzanp pwodiksyon:

Ou ta dwe wè kòd lòd ki anba a nan dosye sa a. Si ou pa, kopye epi kole:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

Pa default, mete "1" aktive. Sepandan, si ou vle enfim li, ou ka chanje li nan "0", Si ou pa renmen tcheke chak jou, kontinye chanje nimewo a nan "2," ki fè amelyorasyon otomatik tcheke chak jou. Nan gid nou an, pou egzanp, sèlman nou chanje li nan 2. Nou rekòmande pou kite seri sa a nan "1":

Egzanp nan yon anviwònman ap viv:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

Sove dosye a (CTRL+O), lè sa a, peze Y, apre sa pou sòti pou laprès (CTRL+X) pou kite editè tèks la.


reklam


Kreye Cronjob pou amelyorasyon poukont yo

Opsyonèlman, si ou ta renmen tout kontwòl sou distribisyon otomatik ou yo, ou ka kreye yon cronjob. Pou fè sa, premye, louvri crontab la:

sudo crontab -e

Apre sa, ajoute liy sa a nan pati anba a nan dènye antre a; ou ka modifye "timing" la nenpòt fason ou renmen. Si ou se nouvo nan Linux, vizite Crontab.Guru, ki ou ka jwenn èd, fè ak teste tan paramèt cron.

Anba a pral montre w kouri egzakteman chak 3yèm jou, a 4:00 am.

Egzanp:

00 04 * * */3 /usr/bin/unattended-upgrade -v

Egzanp nan yon anviwònman ap viv:

Ki jan yo aktive ak konfigirasyon poukont yo ajou Debian 11

Sove dosye a (CTRL+O), lè sa a, peze Y, apre sa pou sòti pou laprès (CTRL+X) pou kite editè tèks la.

Ki jan yo jwenn aksè nan mòso mòso yo pa siveye-a

Anfen, amelyorasyon poukont yo antre nan anyè li yo, kidonk si ou vle tcheke dosye yo pou nenpòt pwoblèm epi jwenn erè, ou ka jwenn li sou chemen sa a:

/var/log/unattended-upgrades/

reklam


Lòt zouti - Tcheke rekòmanse (Debian Goodies)

Yon pwogram ekselan pou tcheke si ou te retounen nan yon sèvè ki te gen mizajou otomatik aplike olye pou yo tcheke mòso bwa oswa imèl se kouri checkrstart lòd ki pral enfòme w si nenpòt pakè bezwen rekòmanse.

Pou enstale checkrstart, kouri lòd sa a:

sudo apt install debian-goodies -y

Koulye a, kouri lòd sa a pou tcheke pakè ki mande rekòmanse:

sudo checkrestart


Egzanp pwodiksyon:

Found 0 processes using old versions of upgraded files

Kòm ou ka wè, machin leson patikilye a ap itilize a se ajou; sepandan, si yon bagay te bezwen yon rekòmanse manyèl, li ta dwe nan lis isit la nan pwodiksyon an.

Kòmantè ak konklizyon

Mete kanpe amelyorasyon poukont yo se yon travay enpòtan ke ou envesti nan mete kanpe. Jan yo eksplike sa nan gid nou an, pwosesis la gen anpil opsyon pou satisfè bezwen prèske tout moun, e menm lè sa a, ou ka fè kèk faktè ekstèn pou gen plis opsyon, pou egzanp, ak cronjob la.

Nan yon minimòm, ou ta vle fè sa a kouri chak jou pou sekirite ak lapè jeneral nan tèt ou.

Ban-m pran abònman
Notifye nan
2 kòmantè
Aliye komantè
Wè tout kòmantè

Bonjou Joshua, ou gen yon "kopi/kole" erè tipografi:

Pou pèmèt sou bòt sèvis yo poukont yo:

sudo systemctl sispann amelyorasyon poukont yo

li ta dwe: sudo systemctl pèmèt amelyorasyon poukont yo

Mèsi pou gid ou a, li sove m 'tan pou itilize li kòm rapèl ak referans.

2
0
Ta renmen panse ou, tanpri fè kòmantè.x