우분투 18.04에서 자동 무인 보안 업데이트를 활성화하고 설정하는 방법

우분투 시스템을 정기적으로 업데이트하는 것은 전체 시스템 보안의 가장 중요한 측면 중 하나입니다. 최신 보안 패치로 운영 체제 패키지를 업데이트하지 않으면 시스템이 공격에 취약 해집니다.

이 튜토리얼에서는 Ubuntu 18.04에서 자동 무인 업데이트를 구성하는 방법을 안내합니다. 동일한 단계가 Ubuntu 16.04 및 Kubuntu, Linux Mint 및 Elementary OS를 포함한 모든 Ubuntu 기반 배포판에 적용됩니다.

전제 조건

이 학습서를 계속하기 전에 sudo 권한이있는 사용자로 로그인했는지 확인하십시오.

무인 업그레이드 패키지 설치

unattended-upgrades 패키지는 업데이트 된 패키지를 자동으로 설치하는 데 사용됩니다. 이 패키지가 Ubuntu 시스템에 이미 설치되어있는 경우 터미널에 다음 명령을 입력하여 패키지를 설치할 수 있습니다.

sudo apt install unattended-upgrades

설치가 완료되면 무인 업그레이드 종료 서비스가 활성화되고 자동으로 시작됩니다. 다음을 입력하여 확인할 수 있습니다.

systemctl status unattended-upgrades

● unattended-upgrades.service - Unattended Upgrades Shutdown Loaded: loaded (/lib/systemd/system/unattended-upgrades.service; enab Active: active (running) since Sun 2019-03-10 07:52:08 UTC; 2min 35s Docs: man:unattended-upgrade(8) CGroup: /system.slice/unattended-upgrades.service

무인 자동 업데이트 구성

/etc/apt/apt.conf.d/50unattended-upgrades 파일을 편집하여 unattended-upgrades 패키지 설정을 구성 할 수 있습니다. 기본 구성은 대부분의 사용자에게 적합하지만 파일을 열고 필요에 따라 변경할 수 있습니다.

무인 업그레이드 패키지로 모든 패키지 또는 보안 업데이트 만 업데이트하도록 구성 할 수 있습니다. 첫 번째 섹션에서는 자동으로 업데이트 할 패키지 유형을 정의합니다. 기본적으로 보안 업데이트 만 설치됩니다. 다른 리포지토리에서 업데이트를 활성화하려는 경우 줄 시작 부분에서 // 이중 슬래시를 제거하여 적절한 리포지토리의 주석 처리를 제거 할 수 있습니다. // 이후의 내용은 주석이며 패키지에서 읽지 않습니다.

/etc/apt/apt.conf.d/50 무인 업그레이드

Unattended-Upgrade::Allowed-Origins { "${distro_id}:${distro_codename}"; "${distro_id}:${distro_codename}-security"; // Extended Security Maintenance; doesn't necessarily exist for // every release and this system may not have it installed, but if // available, the policy for updates is such that unattended-upgrades // should also install from here by default. "${distro_id}ESM:${distro_codename}"; // "${distro_id}:${distro_codename}-updates"; // "${distro_id}:${distro_codename}-proposed"; // "${distro_id}:${distro_codename}-backports"; };

어떤 이유로 든 특정 패키지가 자동으로 업데이트되지 않도록하려면 패키지를 패키지 블랙리스트에 추가하면됩니다.

/etc/apt/apt.conf.d/50 무인 업그레이드

Unattended-Upgrade::Package-Blacklist { // "vim"; // "libc6"; // "libc6-dev"; // "libc6-i686"; };

어떤 이유로 자동 업데이트에 문제가있는 경우 이메일을받을 수도 있습니다. 그렇게하려면 다음 두 줄의 주석을 해제하고 이메일 주소를 입력하십시오. mailx 또는 postfix 와 같이 시스템에 설치된 이메일을 보낼 수있는 도구가 있는지 확인하십시오.

/etc/apt/apt.conf.d/50 무인 업그레이드

Unattended-Upgrade::Mail "[email protected]"; Unattended-Upgrade::MailOnlyOnError "true";

무인 자동 업데이트 활성화

자동 업데이트를 활성화하려면 apt 구성 파일 /etc/apt/apt.conf.d/20auto-upgrades 에 최소한 다음 두 줄이 포함되어 있어야합니다.이 줄은 기본적으로 포함되어야합니다.

/etc/apt/apt.conf.d/20 자동 업그레이드

APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1";

위의 구성은 패키지 목록을 업데이트하고 사용 가능한 업데이트를 매일 설치합니다.

다음 줄을 추가하여 7 일마다 로컬 다운로드 아카이브를 정리할 수도 있습니다.

/etc/apt/apt.conf.d/20 자동 업그레이드

APT::Periodic::AutocleanInterval "7";

자동 업데이트를 활성화 / 비활성화하는 다른 방법은 다음 명령을 실행하여 /etc/apt/apt.conf.d/20auto-upgrades 수정하거나 존재하지 않는 경우 생성하는 것입니다.

sudo dpkg-reconfigure -plow unattended-upgrades

테스팅

자동 업그레이드 작동 여부를 테스트하려면 드라이 런을 수행하십시오.

sudo unattended-upgrades --dry-run --debug

출력은 다음과 같아야합니다.

… pkgs that look like they should be upgraded: Fetched 0 B in 0s (0 B/s) fetch.run() result: 0 blacklist: whitelist: No packages found that can be upgraded unattended and no pending auto-removals

자동 무인 업그레이드 기록은 /var/log/unattended-upgrades/unattended-upgrades.log 파일에 기록됩니다.

결론

이 학습서에서는 자동 무인 업데이트를 구성하고 시스템을 최신 상태로 유지하는 방법을 배웠습니다.

우분투 적절한 보안