Hvernig á að virkja og stilla eftirlitslausar uppfærslur á Debian 11

Að halda kerfinu þínu uppfærðu er mikilvægur þáttur fyrir alla frá einföldum skrifborðsnotendum, forriturum, stjórnendum; jæja, við skulum horfast í augu við það, allir með tæki sem er sérstaklega tengt við internetið. Debian er sjálfgefið ekki sett upp fyrir sjálfvirkar uppfærslur. Hins vegar, með því að virkja og stilla eftirlitslausa uppfærslupakka, geturðu auðveldlega beitt öryggis-, pakka- eða jafnvel nýjum eiginleikum uppfærslum á auðveldan, einfaldan og skilvirkan hátt ef þú hefur ekki alltaf tíma til að athuga eða gleyma. ÞAÐ er mjög mælt með því að virkja þetta bara til öryggis.

Eftirfarandi kennsla mun sýna hvernig á að setja upp og eða virkja og stilla eftirlitslausar uppfærslur á Debian 11.

Forsendur

  • Mælt með stýrikerfi: Debian 11 Bullseye eða Debian 10, 9 eða hvaða Debian kerfi sem er enn uppfært.
  • Notendareikningur: Notendareikningur með sudo réttindi or rótaraðgangur (su skipun).

Uppfærir stýrikerfi

Uppfærðu þína Debian 11 stýrikerfi til að tryggja að allir núverandi pakkar séu uppfærðir:

sudo apt update && sudo apt upgrade

Root eða Sudo Access

Sjálfgefið, þegar þú býrð til reikninginn þinn við ræsingu með Debian miðað við aðrar dreifingar, fær hann ekki sjálfkrafa sudoers stöðu. Þú verður annað hvort að hafa aðgang að rót lykilorð til að nota su skipunin eða farðu á námskeiðið okkar á Hvernig á að bæta notanda við Sudoers á Debian.


Fáðu


Settu upp Unnattended-Upgrades Package

Í fyrsta lagi, ef þú hefur ekki sett upp eftirlitslausar uppfærslur eða hefur fjarlægt pakkann, verður þú að setja þetta upp aftur með eftirfarandi skipun:

sudo apt install unattended-upgrades

Sjálfgefið ætti þetta að vera sett upp.

Þú verður líka að gera það settu upp apt-config-auto-update pakkann ef þú vilt að Debian kerfið þitt endurræsist eftir uppfærslur sem krefjast endurræsingar sjálfkrafa. Til að gera þetta skaltu nota eftirfarandi skipun hér að neðan:

sudo apt install apt-config-auto-update

Fyrir notendur fartölvu þarftu að setja upp pakkann powermgmt-grunnur ef þú ætlar að nota eftirlitslausa valkosti sem nýta rafhlöðuvalkosti.

sudo apt install powermgmt-base

Þegar uppsetningunni er lokið ætti Debian sjálfgefið að hefja ferlið. Til að staðfesta skaltu nota eftirfarandi skipun:

sudo systemctl status unattended-upgrades

Dæmi úttak:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Eftirfarandi systemctl skipanir mun útskýra valkostina sem þú hefur til að ræsa, hætta, virkja við ræsingu, slökkva á ræsingu eða endurræsa eftirlitslausa uppfærsluþjónustuna:

Til að hefja eftirlitslausa þjónustu:

sudo systemctl start unattended-upgrades

Til að stöðva eftirlitslausa þjónustu:

sudo systemctl stop unattended-upgrades

Til að virkja eftirlitslausa þjónustu við ræsingu:

sudo systemctl enable unattended-upgrades

Til að slökkva á eftirlitslausu þjónustunni við ræsingu:

sudo systemctl disable unattended-upgrades

Til að endurræsa á eftirlitslausu þjónustunni:


sudo systemctl restart unattended-upgrades

Stilla eftirlitslausar uppfærslur

Eftir að hafa athugað eða sett upp eftirlitslausa uppfærslu, breytum við núna 50 eftirlitslausar uppfærslur stillingarskrá með því að nota uppáhalds textaritilinn þinn. Héðan geturðu stillt eftirlitslausar uppfærslur úr sumum dæmunum í þessari kennslu og skoðað nokkra af hinum minna notuðu valkostunum; skjölin í stillingarskránni gefa góða skýringu á hverri stillingu fyrir sig.

Þú getur gert þetta með eftirfarandi skipun:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Dæmi um gluggaopnun og fyrstu skoðun:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Leyfilegur-uppruni og uppfærslur

Óeftirlitslaus uppfærslupakkinn mun ekki vinna úr línum sem byrja á // setningafræði. Sjálfgefið er að aðeins öryggisuppfærslur eru sjálfkrafa settar upp, eins og sýnt er í línunum hér að neðan. Það væri best ef þú slökktir aldrei á öryggisuppfærslum; þó geturðu bætt við fleiri valkostum hér.

Til dæmis, til að innihalda venjulegar pakkauppfærslur sem eru sjálfgefnar óvirkar:

Breyta úr:

//      "${distro_id}:${distro_codename}-updates";

Breyta til að virkja:

       "${distro_id}:${distro_codename}-updates";

Dæmi um uppsetningu sem fylgir sjálfgefna (mælt með fyrir flesta notendur):

Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        // Extended Security Maintenance; doesn't necessarily exist for
        // every release and this system may not have it installed, but if
        // available, the policy for updates is such that unattended-upgrades
        // should also install from here by default.
        "${distro_id}ESMApps:${distro_codename}-apps-security";
        "${distro_id}ESM:${distro_codename}-infra-security";
//      "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";
};

Dæmi í lifandi umhverfi:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Til að sundurliða það enn frekar valkostina sem þú getur virkjað fyrir utan sjálfgefið:

  • „${distro_id}:${distro_codename}-uppfærslur“; – þessi valkostur verður sá sami og að keyra sudo apt uppfærslu í flugstöðinni þinni til að draga pakkauppfærslur. Oftast er þetta óráðlegt þar sem ákveðnir pakkar þurfa handvirkt inngrip við uppfærslu, ef þú stillir þetta make set á svartan lista á tiltekna pakka sem þú veist að munu valda vandamálum ef þeir eru uppfærðir án eftirlits eins og útskýrt er síðar í kennslunni.
  • „${distro_id}:${distro_codename}-tillaga“; – þessi valkostur mun draga uppfærslur úr prófunum, þetta er örugglega ekki mælt með því fyrir alla notendur þar sem pakkarnir eru óstöðugir og geta ekki einu sinni komist í lifandi umhverfi.
  • „${distro_id}:${distro_codename}-bakports“; – þessi valkostur mun virkja bakports sem eru aðallega notaðar til að uppfæra pakka, þetta er venjulega stöðugra en lagt er til en fyrir almenna reglu ættirðu að kanna áður en þú kveikir á þessu þar sem það getur valdið óstöðugleika.

Útiloka pakka frá uppfærslum

Með uppfærslum geta sumir pakkar orðið óstöðugir eða brotnað alveg ef þú hefur ekki eftirlit með ferlinu. Til dæmis, Nginx sjálfvirk uppfærsla fyrir notanda sem hefur ModSecurity sett saman mun bila; þú þarft oft ekki að fylla neitt hér; þetta er aðeins fyrir sérstaka netþjóna sem keyra pakka sem þurfa inngrip.

Athugið, það er alltaf betra að nota python tjáningar til að passa við pakka:

Dæmi frá

// Python regular expressions, matching packages to exclude from upgrading
Unattended-Upgrade::Package-Blacklist {
    // The following matches all packages starting with linux-
//  "linux-";

    // Use $ to explicitely define the end of a package name. Without
    // the $, "libc6" would match all of them.
//  "libc6$";
//  "libc6-dev$";
//  "libc6-i686$";

Dæmibreyting útilokar líka Nginx vefforrit:

// Python regular expressions, matching packages to exclude from upgrading
Unattended-Upgrade::Package-Blacklist {
    // The following matches all packages starting with linux-
  "nginx";

    // Use $ to explicitely define the end of a package name. Without
    // the $, "libc6" would match all of them.
//  "libc6$";
//  "libc6-dev$";
//  "libc6-i686$";

Dæmi í lifandi umhverfi:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Fjarlægðu ónotuð ósjálfstæði

Næst skaltu halda áfram að fjarlægja sjálfkrafa ónotaðar ósjálfstæði, sem hafa þrjá valkosti; sjálfgefið er rangt. Hins vegar geturðu virkjað þessar stillingar. Í grundvallaratriðum, ef þú uppfærir pakka sjálfkrafa, þá er ekki lengur þörf á ósjálfstæði og eða kjarna og gömlu leifar sem eru ekki lengur í notkun; það mun sjálfkrafa hreinsa og fjarlægja þetta fyrir þig. Þetta er venjulega alltaf öruggt að gera fyrir flesta notendur.

Ef þú vilt ekki gera þetta, láttu þá línuna ósnerta.

Dæmi frá:

// Remove unused automatically installed kernel-related packages
// (kernel images, kernel headers and kernel version locked tools).
// Unattended-Upgrade::Remove-Unused-Kernel-Packages "true";

// Do automatic removal of newly unused dependencies after the upgrade
// Unattended-Upgrade::Remove-New-Unused-Dependencies "true";

// Do automatic removal of unused packages after the upgrade
// (equivalent to apt-get autoremove)
// Unattended-Upgrade::Remove-Unused-Dependencies "false";

Dæmi breyting líka:

// Remove unused automatically installed kernel-related packages
// (kernel images, kernel headers and kernel version locked tools).
Unattended-Upgrade::Remove-Unused-Kernel-Packages "true";

// Do automatic removal of newly unused dependencies after the upgrade
Unattended-Upgrade::Remove-New-Unused-Dependencies "true";

// Do automatic removal of unused packages after the upgrade
// (equivalent to apt-get autoremove)
Unattended-Upgrade::Remove-Unused-Dependencies "true";

Dæmi í lifandi umhverfi:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Fáðu


Email tilkynningar

Mælt er með því að setja upp tilkynningar í tölvupósti, sérstaklega ef keyra netþjóna án eftirlits. Í uppsetningunni er frábær kostur að velja tölvupóst „við breyting“ svo þú færð aðeins tilkynningar þegar hugbúnaður hefur breyst. Að öðrum kosti geturðu valið „aðeins við villu,“ svo þú færð aðeins tilkynningar þegar villa hefur átt sér stað.

Mælt er með því að velja á-breyting því þú ættir að vita hvaða uppfærslur eru að gerast í kerfinu þínu. Þú getur líka stillt netfang hér:

Athugaðu, þetta mun krefjast þess að þú hafir sett upp tölvupóst á netþjóninum þínum til að tilkynningarnar virki.

Dæmi frá:

// Send email to this address for problems or packages upgrades
// If empty or unset then no email is sent, make sure that you
// have a working mail setup on your system. A package that provides
// 'mailx' must be installed. E.g. "user@example.com"
//Unattended-Upgrade::Mail "";

Dæmi breyting líka:

// Send email to this address for problems or packages upgrades
// If empty or unset then no email is sent, make sure that you
// have a working mail setup on your system. A package that provides
// 'mailx' must be installed. E.g. "user@example.com"
Unattended-Upgrade::Mail "EMAILNAME@YOURDOMAIN.COM";

Dæmi í lifandi umhverfi:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Annar valmöguleikinn fyrir tilkynningar í tölvupósti er um hvað á að tilkynna í raun um. Fyrir flesta notendur nægir aðeins við villa eða við breytingu; að stilla skýrslugerðina á alltaf mun hugsanlega hafa í för með sér mikið af óæskilegum tölvupósti, en fyrir mikilvæg kerfi gæti það verið réttlætanlegt.

Hér að neðan er dæmi um aðeins-við-villu, sem er fínt fyrir skjáborðsnotendur í umhverfi sem ekki er framleiðslu/vefþjónn:

Dæmi frá:

// Set this value to one of:
//    "always", "only-on-error" or "on-change"
// If this is not set, then any legacy MailOnlyOnError (boolean) value
// is used to chose between "only-on-error" and "on-change"
//Unattended-Upgrade::MailReport "on-change";

Dæmi breyting líka:

// Set this value to one of:
//    "always", "only-on-error" or "on-change"
// If this is not set, then any legacy MailOnlyOnError (boolean) value
// is used to chose between "only-on-error" and "on-change"
Unattended-Upgrade::MailReport "only-on-error";

Dæmi í lifandi umhverfi:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Sjálfvirkir endurræsavalkostir

Skrunaðu niður að sjálfvirkri endurræsingu valkostinn. Sjálfgefið er að slökkt er á þessu og næstum allir skjáborðar og sérstaklega netþjónar sem keyra sérstakan hugbúnað og eða þjónustu munu ekki hafa þetta kveikt þar sem það getur oft valdið miklum truflunum á þessari hugbúnaðarþjónustu.

Segjum samt sem áður að þjónusta þín þjóni aðeins fáum. Í því tilviki gæti verið hagkvæmt að hafa þennan valkost. Linux/Ubuntu kerfi munu venjulega aðeins endurræsa vegna Kernel Linux uppfærslu sem er mikilvæg, en ég er með sjálfvirkar tilkynningar um breytingar. Ég mun vita að það þarf að gera það og get skipulagt það.

Dæmi frá:

// Automatically reboot *WITHOUT CONFIRMATION* if
//  the file /var/run/reboot-required is found after the upgrade
//Unattended-Upgrade::Automatic-Reboot "false";

Dæmi breyting líka:

// Automatically reboot *WITHOUT CONFIRMATION* if
//  the file /var/run/reboot-required is found after the upgrade
Unattended-Upgrade::Automatic-Reboot "true";

Dæmi í lifandi umhverfi:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Ef þú virkjar valkostinn geturðu stillt endurræsingu með notendum innskráðir eða ekki. Þetta ætti að vera óvirkt, þar sem notendur sem eru skráðir inn og neyddir út vegna endurræsingar geta valdið truflunum á vinnuumhverfi, svo ekki sé minnst á gremju þess notanda sem skráði sig inn.

Hins vegar, ef þú vilt frekar þetta á:

Dæmi frá:

// Automatically reboot even if there are users currently logged in
// when Unattended-Upgrade::Automatic-Reboot is set to true
//Unattended-Upgrade::Automatic-Reboot-WithUsers "true";

Dæmi breyting líka:

// Automatically reboot even if there are users currently logged in
// when Unattended-Upgrade::Automatic-Reboot is set to true
Unattended-Upgrade::Automatic-Reboot-WithUsers "true";

Dæmi í lifandi umhverfi:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Ef þú ert með lítinn netþjón á tilteknu tímabelti og veist góðan tíma til að endurræsa, segðu klukkan 2:XNUMX og stilltu síðan eftirfarandi:

Dæmi frá:

// If automatic reboot is enabled and needed, reboot at the specific
// time instead of immediately
//  Default: "now"
//Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Dæmi breyting líka:

// If automatic reboot is enabled and needed, reboot at the specific
// time instead of immediately
//  Default: "now"
Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Dæmi í lifandi umhverfi:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Endanleg gátlisti fyrir eftirlitslausar uppfærslur

Til að tryggja að sjálfvirkar uppfærsluskrár séu til staðar í möppunni /etc/apt/apt.conf.d/ með því að nota eftirfarandi skipanir:

cd /etc/apt/apt.conf.d
ls

Dæmi úttak:

ls
00CDMountPoint	      10periodic      20packagekit	     60icons
00trustcdrom	      15update-stamp  20snapd.conf	     70debconf
01autoremove	      20archive       50appstream
01autoremove-kernels  20listchanges   50unattended-upgrades

Opnaðu nú skrána /etc/apt/apt.conf.d/20auto-uppgrades:

sudo nano /etc/apt/apt.conf.d/20auto-upgrades

Dæmi úttak:

Þú ættir að sjá skipanakóðann hér að neðan í skránni hér á eftir. Ef ekki, afritaðu og límdu:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

Sjálfgefið er að stillingin „1“ er virkjuð. Hins vegar, ef þú vilt slökkva á því, geturðu breytt því í „0“. Ef þér líkar ekki að athuga daglega skaltu halda áfram að breyta númerinu í „2,“ sem gerir sjálfvirkar uppfærslur athugaðar annan hvern dag. Í handbókinni okkar, til dæmis, breyttum við því aðeins í 2. Við mælum með að hafa þetta sett á „1“:

Dæmi í lifandi umhverfi:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Vistaðu skrána (CTRL+O), Þá ýttu á Y, á eftir til að hætta stutt (CTRL+X) til að hætta í textaritlinum.


Fáðu


Búðu til Cronjob fyrir eftirlitslausar uppfærslur

Valfrjálst, ef þú vilt hafa fulla stjórn á tímasetningu á sjálfvirkum uppfærslum þínum, geturðu búið til cronjob. Til að gera þetta skaltu fyrst opna crontab:

sudo crontab -e

Næst skaltu bæta þessari línu við neðst í síðustu færslu; þú getur breytt "tímasetningu" eins og þú vilt. Ef þú ert nýr í Linux skaltu fara á Crontab.Guru, sem þú getur fengið hjálp, búið til og prófað cron stillingartíma.

Hér að neðan mun sýna að keyra nákvæmlega hvern 3. dag, klukkan 4:00.

Dæmi:

00 04 * * */3 /usr/bin/unattended-upgrade -v

Dæmi í lifandi umhverfi:

Hvernig á að virkja og stilla eftirlitslausar uppfærslur Debian 11

Vistaðu skrána (CTRL+O), Þá ýttu á Y, á eftir til að hætta stutt (CTRL+X) til að hætta í textaritlinum.

Hvernig á að fá aðgang að eftirlitslausum uppfærsluskrám

Að lokum, eftirlitslaus uppfærsla annála í möppuna sína, þannig að ef þú vilt athuga annálsskrárnar fyrir vandamál og finna villur, geturðu fundið það á eftirfarandi slóð:

/var/log/unattended-upgrades/

Fáðu


Viðbótarverkfæri – Athugaðu endurræsingu (Debian góðgæti)

Frábært forrit til að athuga hvort þú sért kominn aftur á netþjón sem hefur fengið sjálfvirkar uppfærslur í stað þess að athuga annála eða tölvupóst er að keyra athuga endurræsa skipunina sem mun láta þig vita ef einhver pakki þarfnast endurræsingar.

Til að setja upp checkrestart skaltu keyra eftirfarandi skipun:

sudo apt install debian-goodies -y

Keyrðu nú eftirfarandi skipun til að athuga hvort pakkar sem þurfa endurræsingu:

sudo checkrestart


Dæmi úttak:

Found 0 processes using old versions of upgraded files

Eins og þú sérð er vélin sem kennslan notar uppfærð; Hins vegar, ef eitthvað vantaði handvirka endurræsingu, þá væri það skráð hér í úttakinu.

Athugasemdir og niðurstaða

Að setja upp eftirlitslausar uppfærslur er mikilvægt starf sem þú fjárfestir í að setja upp. Eins og útskýrt er í handbókinni okkar hefur ferlið svo marga möguleika sem henta næstum allra þörfum og jafnvel þá geturðu gert nokkra ytri þætti til að hafa fleiri valkosti, til dæmis með cronjob's.

Að minnsta kosti myndir þú vilja hafa þetta keyrt daglega fyrir öryggi og almenna hugarró.

2 hugsanir um „Hvernig á að virkja og stilla eftirlitslausar uppfærslur á Debian 11“

  1. Hæ Joshua, þú ert með 'copy/paste' innsláttarvillu:

    Til að virkja eftirlitslausa þjónustu við ræsingu:

    sudo systemctl stöðva eftirlitslausar uppfærslur
    

    það ætti að vera: sudo systemctl virkja eftirlitslausar uppfærslur

    Takk fyrir leiðbeiningarnar þínar, það sparar mér tíma að nota það sem áminningu og tilvísun.

    Svara

Leyfi a Athugasemd