웹사이트 검색

Ubuntu 16.04에서 자동 보안 업데이트를 설정하는 방법


이 페이지에서

  1. 우리가 할 일\n
  2. 전제 조건
  3. 1단계 - Ubuntu 16.04에 자동 업그레이드 설치
  4. 2단계 - 무인 업그레이드 구성
    1. 업그레이드 유형 정의\n
    2. 블랙리스트 패키지
    3. 추가 구성

    1. 무인 업그레이드 로그 확인\n
    2. 업데이트 알림
    3. 이메일 알림
    4. 재부팅 확인\n

    보안 업데이트는 IT 세계의 필수적인 부분입니다. Linux는 가장 안전한 컴퓨터 운영 체제 중 하나로 간주될 수 있지만 적시에 보안 업데이트를 통해 수정해야 하는 취약성이 있다는 사실을 제거하지는 않습니다. 일반적으로 Linux 보안 업데이트는 출시 후 30일 이내에 적용해야 합니다.

    CentOS에서 자동 보안 업데이트를 설정하는 방법에 대해 이미 논의했습니다. 이제 이 튜토리얼에서는 자동 보안 업데이트를 위해 Ubuntu 16.04 서버를 단계별로 구성하는 방법을 보여줍니다. 따라서 보안 패키지에 대한 업데이트가 있으면 시스템이 자동으로 패키지를 다운로드하고 업데이트를 적용합니다.

    우리가 할 일

    1. Ubuntu 16.04에 자동 업그레이드 설치
    2. 무인 업그레이드 구성
    3. 자동 업데이트 사용
    4. 업데이트된 패키지 확인
      \n

    전제 조건

    • 우분투 16.04 서버
    • 루트 권한\n

    1단계 - Ubuntu 16.04에 무인 업그레이드 설치

    가장 먼저 해야 할 일은 무인 업그레이드 패키지를 시스템에 설치하는 것입니다. Ubuntu 리포지토리에서 사용할 수 있으며 apt 명령을 사용하여 설치할 수 있습니다.

    SSH 로그인을 사용하여 서버에 로그인합니다.

    ssh 

    아래의 apt 명령을 사용하여 모든 리포지토리를 업데이트하고 무인 업그레이드를 설치합니다.

    sudo apt update
    sudo apt install unattended-upgrades

    설치 후 /etc/apt/apt.conf.d 구성 디렉토리에서 구성을 편집해야 합니다.

    2단계 - 무인 업그레이드 구성

    무인 업그레이드 구성은 /etc/apt/apt.conf.d 디렉토리에서 사용할 수 있습니다. 업데이트/업그레이드 유형, 블랙리스트 업데이트를 정의하고 몇 가지 추가 구성을 구성하려면 구성을 편집해야 합니다.

    /etc/apt/apt.conf.d 디렉토리로 이동하고 vim 편집기를 사용하여 구성 파일 50unattended-upgrades를 편집합니다.

    cd /etc/apt/apt.conf.d/
    vim 50unattended-upgrades

    업그레이드 유형 정의

    시스템에 대한 업데이트/업그레이드 유형을 정의해야 합니다. 무인 업그레이드 패키지는 모든 패키지 업데이트 및 보안 업데이트만 포함하여 일부 자동 업그레이드 유형을 제공합니다. 이 가이드에서는 Ubuntu 16.04 시스템용 보안 업데이트만 활성화하려고 합니다.

    첫 번째 블록 구성 Allowed-Origin에서 아래와 같이 모든 줄에 주석을 달고 보안 줄만 남깁니다.

    Unattended-Upgrade::Allowed-Origins {
    //      "${distro_id}:${distro_codename}";
            "${distro_id}:${distro_codename}-security";
            // Extended Security Maintenance; doesn't necessarily exist for
            // every release and this system may not have it installed, but if
            // available, the policy for updates is such that unattended-upgrades
            // should also install from here by default.
    //      "${distro_id}ESM:${distro_codename}";
    //      "${distro_id}:${distro_codename}-updates";
    //      "${distro_id}:${distro_codename}-proposed";
    //      "${distro_id}:${distro_codename}-backports";
    };

    블랙리스트 패키지

    두 번째 블록의 경우 블랙리스트 패키지 구성입니다. 업데이트에 허용되는 패키지와 허용되지 않는 패키지를 정의할 수 있습니다. 어떤 이유로 든 시스템에 중요하기 때문에 일부 패키지가 업데이트되는 것을 원하지 않는 경우가 있습니다.

    이 섹션에서는 블랙리스트 패키지 구성의 예를 제공하고자 합니다. 따라서 vim, mysql-server 및 mysql-client를 업그레이드하지 않으려면 블랙리스트 구성이 아래 표시된 것과 유사해야 합니다.

    Unattended-Upgrade::Package-Blacklist {
            "vim";
            "mysql-server";
            "mysql-client";
    //      "libc6";
    //      "libc6-dev";
    //      "libc6-i686";
    };

    추가 구성

    다음으로 무인 업그레이드에서 제공하는 일부 기능을 추가하고 활성화하려고 합니다. 우리는 모든 업데이트에 대한 이메일 알림을 원하고, 사용하지 않는 패키지 자동 제거(자동 자동 제거)를 활성화하고, 필요한 경우 자동 재부팅을 활성화합니다.

    이메일 알림의 경우 다음 행의 주석을 제거하십시오.

    Unattended-Upgrade::Mail "root";

    메모:

    mailx 또는 sendmail 패키지가 시스템에 설치되어 있는지 확인하십시오. 다음 명령을 사용하여 메일 응용 프로그램을 설치할 수 있습니다.

    sudo apt install -y sendmail

    사용하지 않는 패키지 자동 제거를 활성화하려면 다음 행의 주석을 제거하고 값을 true로 변경하십시오.

    Unattended-Upgrade::Remove-Unused-Dependencies "true";

    업그레이드 후 자동 재부팅을 하려면(필요한 경우) Automatic-Reboot의 주석을 해제하고 값을 true로 변경합니다.

    Unattended-Upgrade::Automatic-Reboot "true";

    자동 재부팅을 설정하면 모든 업데이트 패키지가 설치된 후 서버가 자동으로 재부팅됩니다. 그러나 해당 구성 줄의 주석을 제거하고 재부팅 값을 변경하여 서버의 재부팅 시간을 구성할 수 있습니다. 여기 내 구성이 있습니다.

    Unattended-Upgrade::Automatic-Reboot-Time "00:00";

    저장 및 종료.

    무인 업그레이드 패키지가 설치되고 모든 구성이 완료되었습니다.

    3단계 - 자동 업데이트 활성화

    패키지 자동 업데이트를 활성화하려면 자동 업그레이드 구성을 편집해야 합니다.

    /etc/apt/apt.conf.d 디렉토리로 이동하여 vim을 사용하여 20자동 업그레이드 구성 파일을 편집합니다.

    cd /etc/apt/apt.conf.d/
    vim 20auto-upgrades

    아래와 같이 구성을 합니다.

    APT::Periodic::Update-Package-Lists "1";
    APT::Periodic::Download-Upgradeable-Packages "1";
    APT::Periodic::AutocleanInterval "3";
    APT::Periodic::Unattended-Upgrade "1";

    저장 및 종료.

    메모:

    • Update-Package-Lists: 1은 자동 업데이트를 활성화하고 0은 비활성화합니다.\n
    • Download-Upgradeable-Packages: 1은 자동 다운로드 패키지를 활성화하고 0은 비활성화합니다.\n
    • AutocleanInterval: X일 동안 자동 청소 패키지를 활성화합니다. 구성에는 3일 자동 청소 패키지가 표시됩니다.\n
    • 무인 업그레이드: 1은 자동 업그레이드를 활성화하고 0은 비활성화합니다.\n

    이 단계에서 모든 보안 업데이트가 자동으로 다운로드되어 시스템에 설치됩니다.

    4단계 - 업데이트된 패키지 확인

    무인 업그레이드 로그 확인

    업데이트된 모든 패키지를 식별하려면 /var/log/unattended-upgrades 디렉토리에 있는 무인 업그레이드 로그를 확인해야 합니다.

    /var/log/unattended-upgrades 디렉토리로 이동하여 사용 가능한 로그를 확인하십시오.

    cd /var/log/unattended-upgrades
    ls -lah

    3개의 로그 파일을 받게 됩니다.

    1. unattended-upgrades-dpkg.log - 패키지 업데이트, 업그레이드 또는 제거에 대한 무인 업그레이드 작업 로그입니다.\n
    2. unattended-upgrades.log - 무인 로그 파일입니다. 업데이트/업그레이드 패키지 목록, 블랙리스트 패키지 목록 및 무인 오류 메시지(오류가 있는 경우).
    3. unattended-upgrades-shutdown.log 파일.

    업데이트 알림

    업데이트된 패키지를 식별하는 또 다른 방법은 SSH 로그인에서 업데이트 알림을 찾는 것입니다.

    다음 스크린샷은 보안 업데이트가 적용되기 전의 서버 알림을 보여줍니다.

    그리고 모든 보안 패키지가 업데이트되면 다음 메시지가 표시됩니다.

    이메일 알림

    이메일 알림의 경우 루트 이메일에 대한 알림을 설정했습니다.

    /var/mail 디렉토리로 이동하여 루트 이메일 파일을 확인하십시오.

    cd /var/mail/
    cat root

    블랙리스트 패키지, 업데이트된 패키지, 제거된 패키지 등을 식별할 수 있습니다.

    재부팅 확인

    재부팅 확인을 위해 다음 명령을 사용할 수 있습니다.

    last reboot

    다음은 모든 보안 패키지를 업그레이드하기 전의 결과입니다.

    업그레이드 후 결과는 다음과 같습니다.

    무인 업그레이드 패키지가 자동 보안 업데이트용으로 설치 및 구성되었습니다. 자동 재부팅 활성화 및 이메일 알림 활성화와 함께 작동합니다.

    참조

    • https://help.ubuntu.com/