Cách thiết lập Cập nhật bảo mật tự động trên Ubuntu 16.04

[theanh]

Cập nhật bảo mật là một phần không thể thiếu của thế giới CNTT. Linux có thể được coi là một trong những hệ điều hành máy tính an toàn nhất, nhưng điều đó không làm mất đi sự thật rằng nó cũng có những lỗ hổng cần được khắc phục thông qua các bản cập nhật bảo mật kịp thời. Nhìn chung, chúng ta cần áp dụng các bản cập nhật bảo mật Linux trong vòng 30 ngày kể từ khi phát hành.

Chúng ta đã thảo luận về cách thiết lập các bản cập nhật bảo mật tự động trên CentOS. Và bây giờ, trong hướng dẫn này, chúng tôi sẽ chỉ cho bạn cách cấu hình từng bước máy chủ Ubuntu 16.04 để cập nhật bảo mật tự động. Vì vậy, khi có bản cập nhật về các gói bảo mật, hệ thống sẽ tự động tải xuống các gói và áp dụng bản cập nhật.

Những việc chúng tôi sẽ làm​

1. Cài đặt unattended-upgrades trên Ubuntu 16.04
2. cấu hình unattended-upgrades
3. Bật cập nhật tự động
4. Kiểm tra các gói đã cập nhật
   

Điều kiện tiên quyết​

• Máy chủ Ubuntu 16.04
• Quyền root

Bước 1 - Cài đặt unattended-upgrades trên Ubuntu 16.04​

Điều đầu tiên chúng ta phải làm là cài đặt gói 'unattended-upgrades' vào hệ thống. Nó có sẵn trong kho lưu trữ Ubuntu và chúng ta có thể cài đặt nó bằng lệnh apt.

Đăng nhập vào máy chủ của bạn bằng SSH login.

ssh root@hakase-labs

Cập nhật tất cả các kho lưu trữ và cài đặt 'unattended-upgrades' bằng lệnh apt bên dưới.

sudo apt update
sudo apt install unattended-upgrades

Sau khi cài đặt, chúng ta cần chỉnh sửa cấu hình trong thư mục cấu hình '/etc/apt/apt.conf.d'.

Bước 2 - Cấu hình unattended-upgrades​

Cấu hình unattended-upgrades có sẵn trong thư mục '/etc/apt/apt.conf.d'. Chúng ta cần chỉnh sửa cấu hình để xác định loại cập nhật/nâng cấp, danh sách đen các bản cập nhật và cấu hình một số cấu hình bổ sung.

Đi tới thư mục '/etc/apt/apt.conf.d' và chỉnh sửa tệp cấu hình '50unattended-upgrades' bằng trình soạn thảo vim.

cd /etc/apt/apt.conf.d/
vim 50unattended-upgrades

Xác định loại nâng cấp​

Chúng ta cần xác định loại cập nhật/nâng cấp cho hệ thống. Gói unattended-upgrades cung cấp một số loại nâng cấp tự động, bao gồm cập nhật tất cả các gói và chỉ cập nhật bảo mật. Đối với hướng dẫn này, chúng tôi chỉ muốn bật bản cập nhật 'bảo mật' cho hệ thống Ubuntu 16.04.

Trên cấu hình khối đầu tiên 'Allowed-Origin', hãy bình luận tất cả các dòng và chỉ để lại dòng bảo mật, như hiển thị bên dưới.

Unattended-Upgrade::Allowed-Origins {
 // "${distro_id}:${distro_codename}";
 "${distro_id}:${distro_codename}-security";
 // Bảo trì bảo mật mở rộng; không nhất thiết phải tồn tại đối với
 // mọi bản phát hành và hệ thống này có thể không cài đặt nó, nhưng nếu
 // khả dụng, chính sách cho các bản cập nhật là unattended-upgrades
 // cũng sẽ cài đặt từ đây theo mặc định.
 // "${distro_id}ESM:${distro_codename}";
 // "${distro_id}:${distro_codename}-updates";
 // "${distro_id}:${distro_codename}-proposed";
 // "${distro_id}:${distro_codename}-backports";
 };

Các gói trong danh sách đen​

Đối với khối thứ hai, đó là cấu hình các gói trong danh sách đen. Chúng ta có thể xác định những gói nào được phép cập nhật và những gói nào không. Đôi khi, chúng ta không muốn một số gói được cập nhật vì chúng rất quan trọng đối với hệ thống vì lý do nào đó.

Trong phần này, chúng tôi chỉ muốn đưa ra ví dụ về cấu hình các gói danh sách đen. Vì vậy, giả sử chúng ta không muốn 'vim', 'mysql-server' và 'mysql-client' được nâng cấp, trong trường hợp đó, cấu hình danh sách đen của chúng ta phải tương tự như cấu hình được hiển thị bên dưới.

Unattended-Upgrade::Package-Blacklist {
 "vim";
 "mysql-server";
 "mysql-client";
 // "libc6";
 // "libc6-dev";
 // "libc6-i686";
 };

Cấu hình bổ sung​

Tiếp theo, chúng ta muốn thêm và bật một số tính năng do unattended-upgrades cung cấp. Chúng tôi muốn nhận thông báo qua email cho mọi bản cập nhật, bật tính năng tự động xóa các gói không sử dụng (apt autoremove tự động) và bật tính năng tự động khởi động lại nếu cần.

Để nhận thông báo qua email, hãy bỏ chú thích ở dòng sau.

Unattended-Upgrade::Mail "root";

Lưu ý:

Đảm bảo các gói mailx hoặc sendmail được cài đặt trên hệ thống của bạn. Bạn có thể sử dụng lệnh sau để cài đặt ứng dụng thư.

sudo apt install -y sendmail

Để bật tính năng tự động xóa các gói không sử dụng, hãy bỏ chú thích ở dòng sau và đổi giá trị thành 'true'.

Unattended-Upgrade::Remove-Unused-Dependencies "true";

Và để tự động khởi động lại sau khi nâng cấp (nếu cần), hãy bỏ chú thích cho 'Automatic-Reboot' và đổi giá trị thành 'true'.

Unattended-Upgrade::Automatic-Reboot "true";

Sau khi thiết lập 'Automatic-Reboot', máy chủ sẽ tự động khởi động lại sau khi tất cả các gói cập nhật được cài đặt. Tuy nhiên, chúng ta có thể định cấu hình thời gian khởi động lại của máy chủ bằng cách bỏ chú thích cho dòng cấu hình tương ứng và thay đổi giá trị khởi động lại. Đây là cấu hình của tôi.

Unattended-Upgrade::Automatic-Reboot-Time "00:00";

Lưu và thoát.

Gói unattended-upgrades đã được cài đặt và mọi cấu hình đã hoàn tất.

Bước 3 - Bật cập nhật tự động​

Để bật cập nhật tự động các gói, chúng ta cần chỉnh sửa cấu hình auto-upgrades.

Vào thư mục '/etc/apt/apt.conf.d' và chỉnh sửa tệp cấu hình '20auto-upgrades' bằng vim.

cd /etc/apt/apt.conf.d/
vim 20auto-upgrades

Thực hiện cấu hình như bên dưới.

APT::Periodic::Update-Package-Lists "1";
 APT::Periodic::Download-Upgradeable-Packages "1";
 APT::Periodic::AutocleanInterval "3";
 APT::Periodic::Unattended-Upgrade "1";

Lưu và thoát.

Lưu ý:

• Update-Package-Lists: 1 bật cập nhật tự động, 0 tắt.
• Download-Upgradeable-Packages: 1 bật tải xuống gói tự động, 0 tắt.
• AutocleanInterval: Bật gói tự động dọn dẹp trong X ngày. Cấu hình hiển thị 3 ngày tự động dọn sạch các gói.
• Nâng cấp không giám sát: 1 cho phép nâng cấp tự động, 0 cho phép vô hiệu hóa.

Ở giai đoạn này, tất cả các bản cập nhật bảo mật sẽ được tự động tải xuống và sau đó cài đặt trong hệ thống.

Bước 4 - Kiểm tra các gói đã cập nhật​

Kiểm tra nhật ký unattended-upgrades​

Để xác định tất cả các gói đã cập nhật, chúng ta cần kiểm tra nhật ký unattended-upgrades nằm trong thư mục '/var/log/unattended-upgrades'.

Đi tới thư mục '/var/log/unattended-upgrades' và kiểm tra các nhật ký có sẵn.

cd /var/log/unattended-upgrades
ls -lah

Bạn sẽ nhận được 3 nhật ký files.

1. unattended-upgrades-dpkg.log - Nhật ký hành động Unattended-upgrades để cập nhật, nâng cấp hoặc xóa các gói.
2. unattended-upgrades.log - Tệp nhật ký không giám sát. Danh sách các gói cập nhật/nâng cấp, danh sách các gói danh sách đen và thông báo lỗi không giám sát (nếu có lỗi).
3. tệp unattended-upgrades-shutdown.log.

Thông báo cập nhật​

Một cách khác để xác định các gói đã cập nhật là tìm thông báo cập nhật khi đăng nhập SSH.

Ảnh chụp màn hình sau đây hiển thị thông báo của máy chủ trước khi các bản cập nhật bảo mật được áp dụng.



Và khi tất cả các gói bảo mật được cập nhật, thông báo sau sẽ được hiển thị.

Thông báo qua email​

Đối với thông báo qua email, chúng tôi đã thiết lập thông báo tới email gốc.

Đi tới thư mục '/var/mail' và kiểm tra tệp email gốc.

cd /var/mail/
cat root

Chúng ta có thể xác định những thứ như các gói bị đưa vào danh sách đen, các gói đã cập nhật và các gói đã xóa.

Kiểm tra khởi động lại​

Để kiểm tra khởi động lại, bạn có thể sử dụng lệnh sau.

lần khởi động lại cuối cùng

Sau đây là kết quả trước khi tất cả các gói bảo mật được nâng cấp.



Và đây là kết quả sau khi nâng cấp.



Gói unattended-upgrades đã được cài đặt và định cấu hình để cập nhật bảo mật tự động. Và nó hoạt động với tính năng tự động khởi động lại được bật cũng như thông báo qua email được bật.

Tham khảo​

• https://help.ubuntu.com/