Данный подход обязателен на серверах, которые доступны в интернет. Время между обнаружением уязвимости и массовым её использованием чрезвычайно мало. В ручном режиме можно не успеть и стать жертвой взлома. Поэтому критические обновления Security Updates ставим ежедневно и в автоматическом режиме.
Ставим утилиту для обновлений
apt install unattended-upgradesПроверяем что утилита apt будет использовать unattended-upgrades
nano /etc/apt/apt.conf.d/20auto-upgrades
nano /etc/apt/apt.conf.d/50unattended-upgradesоставляем только security
Unattended-Upgrade::Origins-Pattern {
// Codename based matching:
// This will follow the migration of a release through different
// archives (e.g. from testing to stable and later oldstable).
// Software will be the latest available for the named release,
// but the Debian release itself will not be automatically upgraded.
// "origin=Debian,codename=${distro_codename}-updates";
// "origin=Debian,codename=${distro_codename}-proposed-updates";
// "origin=Debian,codename=${distro_codename},label=Debian";
"origin=Debian,codename=${distro_codename},label=Debian-Security";
"origin=Debian,codename=${distro_codename}-security,label=Debian-Security";
// "o=Debian Backports,n=${distro_codename}-backports,l=Debian Backports";
// Archive or Suite based matching:
// Note that this will silently match a different release after
// migration to the specified archive (e.g. testing becomes the
// new stable).
// "o=Debian,a=stable";
// "o=Debian,a=stable-updates";
// "o=Debian,a=proposed-updates";
// "o=Debian Backports,a=stable-backports,l=Debian Backports";
};systemctl edit apt-daily-upgade.timerзапускам ежедневно
[Timer]
OnCalendar=daily
RandomizedDelaySec=0посмотреть список таймеров
systemctl list-units --type=timerЗапускаем
/usr/lib/apt/apt.systemd.daily installПроверяем результат работы
cat /var/log/unattended-upgrades/unattended-upgrades.log