Doküman

Ubuntu/Debian’da Katılımsız Güncellemeler Nasıl Etkinleştirilir

Linux sunucu güvenliği, sistem yöneticileri için kritik öneme sahiptir. Ubuntu/Debian Linux sunucularını güvende tutmanın merkezinde yatan kısım, güvenlik güncellemelerini hemen yüklemektir. Sıklıkla, manuel güncelleme için bekleyen güvenlik güncellemeleri nedeniyle internette güvenliği ihlal edilmiş sunucular görürsünüz. Hem Ubuntu hem de Debian’da, katılımsız yükseltme paketi, güncellenmiş paketleri ve güvenlik güncellemelerini otomatik olarak yüklemek için güncellemeler gerçekleştirecek şekilde yapılandırılabilir.

Genel olarak, planlanmamış kesinti sürelerini karşılayamayacağınız kritik sunucularda , katılımsız yükseltmeler (veya otomatik güncellemeler) konusunda çok dikkatli olmalısınız .

Katılımsız yükseltmeleri yükleyin (Install  unattended-upgrades)

Debian 9’dan itibaren, hem unattended-upgrades hem de apt-listchangespaketleri varsayılan olarak yüklenir. Ubuntu’nun son sürümleri, varsayılan olarak unattended-upgrades birlikte yüklü gelir. unattended-upgrades paketini kurmak için terminalde aşağıdaki komutu girin:

sudo apt update && sudo apt upgrade
sudo apt install unattended-upgrades

Unutmayın, zaman içinde Linux sunucunuzdaki güncellemeleri ve değişiklikleri izlemek isteyeceksiniz. /var/log/dpkg.log aracılığıyla veya /var/log/unattended-upgrades/  içindeki günlük dosyalarını okuyarak  izleyebilirsiniz  . Değişiklikleri apt-listchanges  paketini (isteğe bağlı) yükleyerek de izleyebilirsiniz  .

sudo apt install apt-listchanges

apt-listchanges, oluşan güncelleme değişiklikleri hakkında e-posta göndermek için yapılandırılabilir. apt-listchanges, bir Debian paketinin yeni sürümünde, sistemde yüklü olan sürüme kıyasla nelerin değiştiğini gösteren bir araçtır. Bunu, genellikle /usr/share/doc/ paketinde bulunan NEWS.Debian ve cha

Katılımsız yükseltmeleri (unattended-upgrades) yapılandırın 

Debian unattended-upgrades ayar dosyası

Unattended-upgrades yapılandırma dosyası konumu /etc/apt/apt.conf.d/50unattended-upgrades şeklindedir.

Çift eğik çizgiyle // başlayan satırlar yorum satırıdır. Bu nedenle, bir satırı “etkinleştirmek” için başında bulunan çift eğik çizgiyi // kaldırın.

Nelerin güncelleneceğini seçin

Hangi paketlerin otomatik olarak güncellendiğini kontrol eden bölüm Unattended-Upgrade::Allowed-Origins { ile başlar. Yukarıdaki ekran görüntüsü gibi bir şey görünecek. Yalnızca tüm paketleri veya güvenlik güncellemelerini etkinleştirebilirsiniz. Varsayılan olarak, yalnızca güvenlik güncellemelerini yükler. Diğer havuzlardan güncellemeleri etkinleştirmek için, satırın başlangıcındaki // çift eğik çizgiyi silerek havuzun yorumunu kaldırın. Örnek:

"${distro_id}:${distro_codename}-updates";

Mevcut güncelleme türleri hakkında bazı ayrıntılar (özellikle Ubuntu için):

“${distro_id}:${distro_codename}-security”; – Otomatik güncellenen güvenlik güncellemeleri, sunucunuzdaki açıkları ve güvenlik açıklarını düzeltir.

“${distro_id}:${distro_codename}-updates”;– Güncellemeler ( Önerilen Güncellemeler), büyük sıkıntıları gideren ve bozuk paketleri kaldırabilen ancak güvenliğinizi etkilemeyen kritik olmayan güncellemeler içerir. Bazılarını düzeltmek dışında hiçbir özelliği etkinleştirmezler. Bunu etkinleştirmek genellikle iyi bir fikirdir. İndirilecek veri miktarı ve değişiklikler çok büyük değildir ancak sunucu kararlılığınızı çeşitli şekillerde iyileştirir.

“${distro_id}:${distro_codename}-proposed”;– Önerilen güncellemeler, bazı testlerden sonra önerilen güncellemeler kuyruğuna taşınmayı bekleyen güncellemelerdir. Asla önerilenlere ulaşmayabilirler veya daha yeni bir güncelleme ile değiştirilebilirler. Küçük güncellemelerin test edilmesine katılmak istiyorsanız veya belirli sorununuzun burada çözüldüğünü, ancak paketin henüz önerilenlere ulaşmadığını bilmek istiyorsanız, bunu etkinleştirmek mantıklıdır. UYARI: Önerilen güncelleme deposunu etkinleştirmek sisteminizi bozabilir. Deneyimsiz kullanıcılar için önerilmez.

“${distro_id}:${distro_codename}-backports”; – Desteklenen güncellemeler, daha yeni bir ana sürümden gelen yazılım parçalarıdır. Böylece yeni özellikler içerebilirler, ancak eski sürümleriyle uyumluluğu da bozabilirler. Ancak, Ubuntu sürümünüz için özel olarak derlenirler. Aslında, sizi bozuk bağımlılıkların ve büyük indirmelerin zorluğundan kurtarır. Yeni özellikler istiyorsanız ancak sisteminizin kararsız olmasını istemiyorsanız bunu etkinleştirmek mantıklıdır.

E-posta raporlamayı etkinleştirme

Ardından, e-posta raporlamasını etkinleştirmek için aşağıdaki satırı bulun:

//Unattended-Upgrade::Mail "root";

Ve bunu şu şekilde değiştirin:

Unattended-Upgrade::Mail "replacewithyouremail";

Güncelleme sıklığını yapılandırın

Katılımsız yükseltmeler varsayılan olarak mevcut güncellemeleri günlük olarak yükler. Onaylamak için yapılandırma dosyasına bakın:  /etc/apt/apt.conf.d/20auto-upgrades . Şöyle görünmelidir:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

APT::Periodic::Update-Package-Lists  – paket listelerinin yenilenme sıklığını (gün olarak) belirlemenizi sağlar.

APT::Periodic::Unattended-Upgrade  – Etkinleştirildiğinde, günlük komut dosyası yürütülür  unattended-upgrade.

APT::Periodic::Download-Upgradeable-Packages – Gerçek paketlerin indirilme sıklığı (gün olarak).

APT::Periodic::AutocleanInterval – Eski paketlerin APT önbelleğinden ne sıklıkta kaldırılacağını kontrol eder. Bu, APT önbelleğini makul bir boyutta tutar ve bu görev için endişelenmenize gerek olmadığı anlamına gelir.

Yukarıdaki yapılandırma, paket listelerini güncelleyecek, paketleri indirecek ve mevcut yükseltmeleri günlük olarak kuracaktır. Aynı zamanda, APT önbelleği her 7 günde bir temizlenecektir.

Katılımsız yükseltmeleri test  edin

Yapılandırmanızı işlem yapmadan test edebilirsiniz. Aşağıdaki komutu kullanın.

sudo unattended-upgrades --dry-run --debug

Yazının orijinalini buradan okuyabilirsiniz.

Görüntüleme: 298
Şununla etiketlenmiş: ,