Come farmi inviare un'e-mail al mio server in caso di aggiornamenti di sicurezza?

C'è ovviamente un modo per verificare se un aggiornamento è un aggiornamento di sicurezza. Vengo spesso accolto da un motd che dice "ci sono N aggiornamenti di sicurezza".

Quello che vorrei fare è avere il mio server e-mail un elenco di quali pacchetti devono essere aggiornati per motivi di sicurezza.

Per fare un ulteriore passo avanti, l'e-mail si collegherebbe alla notifica di sicurezza applicabile da Ubuntu.

Fondamentalmente, ogni server è in qualche modo unico. Ho ricevuto diverse e-mail sulla mailing list di sicurezza per i pacchetti che non ho installato su nessuno / tutti i server. Quindi vorrei che ogni singolo server mi dicesse di cosa ha bisogno. In questo modo posso applicare gli aggiornamenti in modo tempestivo, evitando al contempo di riavviare servizi come Apache che causerebbero dei tempi di inattività degli utenti.

Come potrei farlo?

— David R.
fonte

Hai pensato di impostare aggiornamenti automatici e di dirgli di installare automaticamente solo gli aggiornamenti delle tasche di sicurezza?

— Thomas Ward

Voglio evitare l'installazione di aggiornamenti che potrebbero interrompere qualcosa o causare il riavvio dei servizi. Gli aggiornamenti automatici potrebbero fare entrambe queste cose.

— David R.

Ma gli aggiornamenti di sicurezza non lo faranno, gli aggiornamenti di sicurezza sono di solito correzioni Cherrypicked che vengono testate prima di essere caricate. Se si configurano aggiornamenti automatici per eseguire SOLO aggiornamenti di sicurezza, probabilmente non si romperà nulla.

— Thomas Ward

Un aggiornamento di sicurezza di Apache richiederebbe il riavvio di Apache, giusto?

— David R.

Non sono un esperto del pacchetto Apache ma credo che emetta automaticamente un comando di riavvio dopo l'aggiornamento. Dovrei controllare i suoi script init e i suoi script di installazione per capirlo, ma un riavvio significa solo un riavvio momentaneo e tutto è tornato alla normalità rapidamente, di solito entro pochi secondi, a volte entro un minuto al massimo. Ma se non lo tieni aggiornato, rimarrai bloccato con bug e molte vulnerabilità

— Thomas Ward

Risposte:

Da un post precedente. puoi eseguire aggiornamenti di sicurezza tramite riga di comando con.

sudo unattended-upgrade

L'ho verificato e puoi anche utilizzare l'opzione della riga di comando

 sudo unattended-upgrade --dry-run

Per scaricare ma non installare gli aggiornamenti.

Quando eseguo il programma non ottengo alcun output, penso che ciò sia dovuto al fatto che il mio sistema è impostato per l'aggiornamento automatico. Se riesci a ottenere l'output da questo, scopri come sono gli aggiornamenti aggiornati e in sospeso e scrivi uno script di shell per inviarti un'e-mail contenente l'output degli aggiornamenti in sospeso.

Quindi eseguire questo script come cron job.

Nota: utilizzare crontab -e per eseguire i lavori come root.

— tweirick
fonte

Non sto chiedendo come installare gli aggiornamenti. Questo è facile. Né sto chiedendo come capire se sono necessari aggiornamenti di sicurezza. Sto chiedendo come essere informato QUALI aggiornamenti di sicurezza devono essere applicati per i singoli server senza che io debba effettuare l'accesso.

— David R.

L'e-mail degli aggiornamenti in sospeso ma non installati non dovrebbe raggiungere questo obiettivo?

— tweirick,

Ah, scusa, darò la colpa alle allergie che ho combattuto per non aver visto il testo che hai osato ...

— David R.,

È possibile utilizzare lo strumento chiamato apticronper avvisare quando sono disponibili nuovi aggiornamenti. Ti invia e-mail sugli aggiornamenti in sospeso, dandoti anche la possibilità di inviare solo e-mail su aggiornamenti non precedentemente notificati.

Per impostare la riga di apticronmodifica /etc/apticron/apticron.confe modifica contenente l'indirizzo e-mail:

EMAIL="admin@example.com"

Inserisci l'indirizzo e-mail a cui desideri ricevere le notifiche.

Per ulteriori informazioni, consultare man apticron .

— Mike
fonte

Non è stato possibile configurare apticron per inviare solo aggiornamenti di sicurezza. Invia notifiche su tutti gli aggiornamenti, compresi gli aggiornamenti non di sicurezza, che mi fanno troppo rumore.

— Hontvári Levente,