ฉันจะติดตั้งเพียงอัปเดตความปลอดภัยจากบรรทัดคำสั่งได้อย่างไร

sudo apt-get upgradeติดตั้งการอัปเดตทั้งหมดไม่ใช่แค่การอัปเดตความปลอดภัย ฉันรู้ว่าฉันสามารถใช้ Update Manager เพื่อเลือกอัปเดตความปลอดภัยที่สำคัญเท่านั้น แต่มีวิธีทำเช่นนี้จากบรรทัดคำสั่งหรือไม่

แพคเกจการปรับปรุงแบบอัตโนมัติให้การทำงานเพื่อติดตั้งการปรับปรุงความปลอดภัยโดยอัตโนมัติ

คุณสามารถใช้สิ่งนี้ แต่แทนที่จะกำหนดค่าชิ้นส่วนอัตโนมัติคุณสามารถเรียกมันได้ด้วยตนเอง:

sudo unattended-upgrade -d --dry-run
sudo unattended-upgrade -d

หากคุณต้องการเรียกใช้อย่างเงียบ ๆ แทน:

sudo unattended-upgrade

หมายเหตุ: เมื่อคุณเรียกใช้การปรับรุ่นแบบอัตโนมัติคุณจะปล่อย "s" ออกจากจุดสิ้นสุด

สมมติว่าแพ็กเกจถูกติดตั้งตามค่าเริ่มต้นซึ่งอาจเป็น ถ้าไม่ทำแค่:

sudo apt-get install unattended-upgrades

/usr/share/doc/unattended-upgrades/README.mdดูเพิ่มเติม

เคล็ดลับเล็กน้อยเกี่ยวกับวิธีจัดการการอัปเดต

สิ่งนี้ใช้ได้ทั้งกับ Debian และ Ubuntu แต่ทำตามคำแนะนำเฉพาะเพิ่มเติมสำหรับ Ubuntu ได้

• แสดงการอัปเดตความปลอดภัยเท่านั้น:

  apt-get -s dist-upgrade |grep "^Inst" |grep -i securi 
  

  หรือ

  sudo unattended-upgrade --dry-run -d
  

  หรือ

  /usr/lib/update-notifier/apt-check -p
  

• แสดงแพ็คเกจที่อัพเกรดได้ทั้งหมด

  apt-get -s dist-upgrade | grep "^Inst"
  

• ติดตั้งการปรับปรุงความปลอดภัยเท่านั้น

  apt-get -s dist-upgrade | grep "^Inst" | 
      grep -i securi | awk -F " " {'print $2'} | 
      xargs apt-get install
  

หมายเหตุ:

• บางครั้ง Ubuntu แสดงการอัปเดตความปลอดภัยราวกับว่ามาจากที่เก็บ $ release-updates ฉันก็บอกเช่นนี้เพราะนักพัฒนา Ubuntu ผลักดันการปรับปรุงความปลอดภัยไปยังที่เก็บ $ release-updates และเร่งความพร้อมของพวกเขา

  หากเป็นกรณีนี้คุณสามารถทำสิ่งต่อไปนี้เพื่อแสดงการปรับปรุงความปลอดภัยเท่านั้น:

  sudo sh -c 'grep ^deb /etc/apt/sources.list | 
      grep security > /etc/apt/sources.security.only.list'
  

  และ

  apt-get -s dist-upgrade -o Dir::Etc::SourceList=/etc/apt/sources.security.only.list -o Dir::Etc::SourceParts=/dev/null  | 
      grep "^Inst" | awk -F " " {'print $2'}
  

• ตรวจสอบว่าบริการใดที่จำเป็นต้องเริ่มต้นใหม่หลังจากการอัพเกรดแพ็คเกจ คิดออกแพคเกจที่คุณจะอัพเกรดก่อนและกำหนดเวลาเริ่มต้นใหม่ / รีบูตของคุณ ปัญหาที่นี่คือยกเว้นว่าคุณจะเริ่มบริการใหม่ แต่ก็ยังอาจใช้ไลบรารีรุ่นเก่ากว่า (สาเหตุที่พบบ่อยที่สุด) ที่ถูกโหลดลงในหน่วยความจำก่อนที่คุณจะติดตั้งแพคเกจใหม่ซึ่งแก้ไขจุดอ่อนด้านความปลอดภัยหรืออะไรก็ตาม

  checkrestart -v
  

  อย่างไรก็ตามโปรดทราบว่าcheckrestartอาจแสดงรายการกระบวนการที่ไม่ควรเริ่มต้นใหม่ ตัวอย่างเช่นบริการ PostgreSQL อาจเก็บไว้ในการอ้างอิงหน่วยความจำของไฟล์ xlog ที่ถูกลบไปแล้วซึ่งไม่ใช่เหตุผลที่ถูกต้องในการเริ่มบริการ

  ดังนั้นอีกวิธีที่เชื่อถือได้มากกว่าการตรวจสอบสิ่งนี้โดยใช้อุปกรณ์มาตรฐานคือสคริปต์ทุบตีเล็ก ๆ น้อย ๆ ต่อไปนี้ที่ฉันขโมยมาจากhttps://locallost.net/?p=233

  มันตรวจสอบว่ากระบวนการที่กำลังทำงานอยู่บนระบบยังคงใช้ไลบรารี่ที่ถูกลบโดยอาศัยการเก็บสำเนาของสิ่งเหล่านั้นในหน่วยความจำที่ใช้งานอยู่

  ps xh -o pid |
  while read PROCID; do
         grep 'so.* (deleted)$' /proc/$PROCID/maps 2> /dev/null
         if [ $? -eq 0 ]; then
                 CMDLINE=$(sed -e 's/\x00/ /g' < /proc/$PROCID/cmdline)
                 echo -e "\tPID $PROCID $CMDLINE\n"
         fi
  done
  

แทนที่/etc/apt/preferencesด้วยสิ่งต่อไปนี้:

Package: *
Pin: release a=lucid-security
Pin-Priority: 500

Package: *
Pin: release o=Ubuntu
Pin-Priority: 50

ในตอนนี้apt-get upgradeจะเป็นการอัปเกรดความปลอดภัยทั้งหมดเท่านั้น

เหตุใด (และวิธี) การทำงาน: ไฟล์กำหนดค่าจะตรึงแพ็คเกจทั้งหมดจากการแจกจ่าย Ubuntu ไปยังลำดับความสำคัญ 50 ซึ่งจะทำให้พวกเขาพึงประสงค์น้อยกว่าแพ็คเกจที่ติดตั้งแล้ว ไฟล์ที่มาจากที่เก็บความปลอดภัยจะได้รับการจัดลำดับความสำคัญเริ่มต้น (500) เพื่อให้พวกเขาได้รับการพิจารณาสำหรับการติดตั้ง ซึ่งหมายความว่าเฉพาะแพ็คเกจที่ได้รับการพิจารณาว่าเป็นที่ต้องการมากกว่าแพ็คเกจที่ติดตั้งในปัจจุบันเท่านั้นคือการปรับปรุงความปลอดภัย ข้อมูลเพิ่มเติมเกี่ยวกับการปักหมุดในapt_preferences manpage

คุณสามารถโปรโมตการแจกจ่ายที่แน่นอนสำหรับการอัปเดตด้วย--target-releaseตัวเลือกที่ทำงานร่วมกับapt-getและaptitude(อย่างน้อย) ซึ่งจะช่วยให้คุณสามารถพินการเผยแพร่บางอย่างเพื่อให้พวกเขามีสิทธิ์อัปเกรด

หากคุณต้องการใช้สิ่งนี้สำหรับสคริปต์เท่านั้นและไม่ทำให้เป็นค่าเริ่มต้นสำหรับระบบคุณสามารถวางกฎไว้ในตำแหน่งอื่นและใช้สิ่งนี้แทน:

apt-get -o Dir::Etc::Preferences=/path/to/preferences_file upgrade

นี่จะทำให้มองหาไฟล์การตั้งค่าจากตำแหน่งที่ไม่ใช่ค่าเริ่มต้น

ไฟล์การกำหนดค่าตามความชอบที่ให้เป็นตัวอย่างไม่ได้ใช้กับที่เก็บของบุคคลที่สามหากคุณต้องการปักหมุดไฟล์เหล่านั้นด้วยคุณสามารถใช้apt-cache policyเพื่อกำหนดปุ่มที่จำเป็นสำหรับการปักได้อย่างง่ายดาย

สิ่งต่อไปนี้ได้รับการยืนยันใน Ubuntu 14.04 LTS

ใช้unattended-upgradeแพ็คเกจ

/etc/apt/apt.conf.d/50unattended-upgradesดูไฟล์ ควรมีส่วนที่ด้านบนนั่นคือ:

// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
//  "${distro_id}:${distro_codename}-updates";
//  "${distro_id}:${distro_codename}-proposed";
//  "${distro_id}:${distro_codename}-backports";
};

โปรดทราบว่ามีการกำหนดค่าให้อนุญาตการอัปเกรดแบบแพคเกจความปลอดภัยแบบอัตโนมัติโดยค่าเริ่มต้นเท่านั้น

แก้ไขไฟล์ที่/etc/apt/apt.conf.d/10periodicคล้ายกับ:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

สิ่งนี้จะเรียกใช้การอัพเกรดความปลอดภัยอัตโนมัติโดยไม่ต้องใส่ข้อมูลวันละครั้ง

ตอนนี้ให้ทำงานด้วยตนเอง: sudo unattended-upgrade.

เพื่อทดสอบแบบแห้งโดยไม่ต้องทำอะไร: sudo unattended-upgrade --dry-run.

ที่มา: https://help.ubuntu.com/14.04/serverguide/automatic-updates.html

แม้ว่ามันจะน่าเกลียดคุณสามารถปิดการใช้งานที่เก็บทั้งหมดนอกเหนือจากที่เก็บความปลอดภัยแล้วทำ:

sudo apt-get update && sudo apt-get upgrade

ฉันไม่ได้ทำการทดสอบ แต่ในทางทฤษฎีแล้วมันจะค้นหาการปรับปรุงใน repo ด้านความปลอดภัยและใช้พวกเขาเท่านั้น ...

• apt-get update: เพียงอ่านรายการในที่เก็บ - ตามรายการที่มีอยู่ จำเป็นต้องตรวจสอบว่ามีอะไรใหม่
• apt-get upgrade: อัพเดตทั้งหมดสำหรับแพ็คเกจที่ติดตั้งโดยไม่มีโมดูลเคอร์เนล ไม่มีการอัพเดท
• apt-get dist-upgrade: อัพเดตทั้งหมดสำหรับแพ็คเกจที่ติดตั้งมาพร้อมกับโมดูลเคอร์เนล ไม่มีการอัพเดท
• apt-getด้วยพารามิเตอร์-s: ทดสอบเท่านั้นไม่มีการเปลี่ยนแปลงใด ๆ

ใน Debians ฉันใช้คำสั่งนี้เพื่อทำการปรับปรุงความปลอดภัยเท่านั้น:

apt-get install -y --only-upgrade $( apt-get --just-print upgrade | awk 'tolower($4) ~ /.*security.*/ || tolower($5) ~ /.*security.*/ {print $2}' | sort | uniq )

ฉันไม่สามารถหาตัวเลือกได้ทั้ง apt-get หรือ aptitude อย่างไรก็ตามบางคนมีคำถามเดียวกันใน SuperUser คำตอบเดียวคือ:

Check and adjust /etc/apt/apt.conf.d/50unattended-upgrade. 
Did you replace 'karmic' with the code name of your Ubuntu?

ไม่มีการตอบกลับว่าทำงานอย่างไร

นี่เป็นสคริปต์ที่ประสบความสำเร็จในหลายวิธี:

#!/usr/bin/env bash
set -e

# List upgradable packages
apt-get update
apt list --upgradable 2>/dev/null
# List security upgrades
test "$(apt-get upgrade -s -y)" && (apt-get upgrade -s -y)
# List upgradable apt packages then upgrade
apt-get update && apt-get upgrade -y  -V | grep '=>' | awk '{print$1}' && test "$(apt-get upgrade -y)"