Noobunbox

Tenir sa distribution à jour c’est important puisque cela vous permet de vous prémunir des différentes failles de sécurité comblées lors de la mise à jour de vos paquets. Cette « option » n’est pas activée par défaut puisqu’il est préférable de tester une mise a jour avant de la mettre en production sur des serveurs critiques. Etant donné que pour la majorité d’entre nous notre serveur nous permet d’héberger quelques sites il est tout à fait possible de mettre en place cette fonctionnalité sans risquer que tout parte en carafe.

 

 

Installer automatiquement les mises a jour de sécurité sous Debian

Commençons par installer le paquet unattended-upgrades en lançant la commande suivante

apt-get install unattended-upgrades

 

Ouvrons le fichier de configuration principal qui nous permet de définir nos options principales de mise a jour automatique

nano /etc/apt/apt.conf.d/50unattended-upgrades

 

Ici nous souhaitons installer seulement des mises a jour de sécurité, il faut donc veiller a ce que les lignes suivantes ne soient pas commentées : ce qui devrait être le cas (Le double « // » sert à commenter, donc tout ce qui suit « // » ne sera pas pris en compte.)

"origin=Debian,archive=stable,label=Debian-Security";
"origin=Debian,archive=oldstable,label=Debian-Security";

 

Certains paquets peuvent être mis en liste noire et ne seront donc pas concernés par ces mises a jour de sécurité. Pour mettre un paquet en liste noire, ajoutez le à la liste :

Unattended-Upgrade::Package-Blacklist {
//      "vim";
//      "libc6";
//      "libc6-dev";
//      "libc6-i686";
};

 

Ajoutez les lignes suivantes dans ce fichier de configuration.

Unattended-Upgrade::AutoFixInterruptedDpkg "true";
Unattended-Upgrade::MinimalSteps "true";
Unattended-Upgrade::InstallOnShutdown "false";
Unattended-Upgrade::Mail "root";
Unattended-Upgrade::MailOnlyOnError "true";
Unattended-Upgrade::Remove-Unused-Dependencies "true";
Unattended-Upgrade::Automatic-Reboot "false";

 

Nous allons maintenant créer un nouveau fichier mettant en pratique l’installation automatique de ces mises a jour de sécurité

nano /etc/apt/apt.conf.d/02periodic

 

Collez-y les lignes de configuration suivantes

// Enable the update/upgrade script (0=disable)
APT::Periodic::Enable "1";

// Do "apt-get update" automatically every n-days (0=disable)
APT::Periodic::Update-Package-Lists "1";

// Do "apt-get upgrade --download-only" every n-days (0=disable)
APT::Periodic::Download-Upgradeable-Packages "1";

// Run the "unattended-upgrade" security upgrade script
// every n-days (0=disabled)
// Requires the package "unattended-upgrades" and will write
// a log in /var/log/unattended-upgrades
APT::Periodic::Unattended-Upgrade "1";

// Do "apt-get autoclean" every n-days (0=disable)
APT::Periodic::AutocleanInterval "7";

 

Il est possible que certaines mises a jour de sécurité pose certains problèmes lorsque dpkg vous pose des questions, comme dans cet exemple

Setting up php5-fpm (5.4.4-14+deb7u10) ...
 
Configuration file `/etc/php5/fpm/pool.d/www.conf'
 ==> Deleted (by you or by a script) since installation.
 ==> Package distributor has shipped an updated version.
   What would you like to do about it ?  Your options are:
    Y or I  : install the package maintainer's version
    N or O  : keep your currently-installed version
      D     : show the differences between the versions
      Z     : start a shell to examine the situation
 The default action is to keep your current version.
*** www.conf (Y/I/N/O/D/Z) [default=N] ? dpkg: error processing php5-fpm (--configure):
 EOF on stdin at conffile prompt

 

Afin de vous prémunir de ce risque, nous allons demander par défaut a dpkg d’utiliser les fichiers de configuration existants. Créons le fichier /etc/apt/apt.conf.d/local

nano /etc/apt/apt.conf.d/local

 

Ajoutons les lignes suivantes

Dpkg::Options {
   "--force-confdef";
   "--force-confold";
}

 

Le résultat des mises à jour automatiques sera Journalisé dans le répertoire /var/log/unattended-upgrades

 

Catégories : Sécurité

Novakin

Passionné d'informatique depuis de longues années je me suis tourné vers Linux et des solutions de virtualisation il y a peu. Ce blog est une sorte de carnet de web où je partage mes mémos.

Poster un Commentaire

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.

  Subscribe  
Me notifier des