Як я можу встановити лише оновлення безпеки з командного рядка?

sudo apt-get upgradeвстановлює всі оновлення, а не лише оновлення безпеки. Я знаю, що я можу використовувати Менеджер оновлень для вибору лише важливих оновлень безпеки, але чи є спосіб це зробити з командного рядка?

Оновлення пакетів без нагляду надають функціональність для автоматичного встановлення оновлень безпеки.

Ви можете використовувати це, але замість налаштування автоматичної частини ви можете викликати її вручну:

sudo unattended-upgrade -d --dry-run
sudo unattended-upgrade -d

Якщо ви хочете запустити це тихо, замість цього:

sudo unattended-upgrade

ПРИМІТКА. Коли ви зателефонуєте без нагляду за оновленням, ви залишаєте "s" в кінці.

Це передбачає, що пакет встановлений за замовчуванням, що він, мабуть, є. Якщо ні, просто зробіть:

sudo apt-get install unattended-upgrades

Дивіться також /usr/share/doc/unattended-upgrades/README.md.

Кілька порад, як керувати оновленнями

Це стосується як Debian, так і Ubuntu, але слідують більш конкретні інструкції для Ubuntu.

• Показати лише оновлення безпеки:

  apt-get -s dist-upgrade |grep "^Inst" |grep -i securi 
  

  або

  sudo unattended-upgrade --dry-run -d
  

  або

  /usr/lib/update-notifier/apt-check -p
  

• Показати всі оновлені пакети

  apt-get -s dist-upgrade | grep "^Inst"
  

• Встановлюйте лише оновлення безпеки

  apt-get -s dist-upgrade | grep "^Inst" | 
      grep -i securi | awk -F " " {'print $2'} | 
      xargs apt-get install
  

Примітки:

• Іноді Ubuntu показує оновлення безпеки, ніби вони надходять із сховища $ release-updates. Це так, мені кажуть, оскільки розробники Ubuntu висувають оновлення безпеки до сховища $ release-updates, а також прискорюють їх доступність.

  Якщо це так, ви можете зробити наступне, щоб показати лише оновлення безпеки:

  sudo sh -c 'grep ^deb /etc/apt/sources.list | 
      grep security > /etc/apt/sources.security.only.list'
  

  і

  apt-get -s dist-upgrade -o Dir::Etc::SourceList=/etc/apt/sources.security.only.list -o Dir::Etc::SourceParts=/dev/null  | 
      grep "^Inst" | awk -F " " {'print $2'}
  

• Перевірте, які послуги потрібно перезапустити після оновлення пакету. З’ясуйте, які пакунки ви збираєтесь оновити заздалегідь, і заплануйте перезавантаження / перезавантаження. Проблема тут полягає в тому, що якщо ви не перезапустите службу, вона все ще може використовувати старішу версію бібліотеки (найпоширеніша причина), завантажену в пам'ять до встановлення нового пакета, який виправляє вразливість безпеки чи будь-що інше.

  checkrestart -v
  

  Однак майте на увазі, що checkrestartможуть бути перелічені процеси, які не обов'язково повинні бути перезапущені. Наприклад, служба PostgreSQL може зберігати в своїй пам'яті посилання на вже видалений файл xlog, що не є поважною причиною для перезапуску служби.

  Тому ще один, більш надійний спосіб перевірити це за допомогою стандартних утиліт - це наступний маленький скрипт, який я безсоромно викрав із https://locallost.net/?p=233

  Він перевіряє, чи запущені процеси в системі все ще використовують видалені бібліотеки завдяки збереженню копій даних в активній пам'яті.

  ps xh -o pid |
  while read PROCID; do
         grep 'so.* (deleted)$' /proc/$PROCID/maps 2> /dev/null
         if [ $? -eq 0 ]; then
                 CMDLINE=$(sed -e 's/\x00/ /g' < /proc/$PROCID/cmdline)
                 echo -e "\tPID $PROCID $CMDLINE\n"
         fi
  done
  

замінити /etc/apt/preferencesнаступним:

Package: *
Pin: release a=lucid-security
Pin-Priority: 500

Package: *
Pin: release o=Ubuntu
Pin-Priority: 50

тепер простий apt-get upgradeоновить усі оновлення безпеки лише.

Чому (і як) це працює: Файл уподобань зафіксує всі пакети з дистрибутиву Ubuntu до пріоритету 50, що зробить їх менш бажаними, ніж уже встановлені пакети. Файлам, що походять з сховища безпеки, надається пріоритет (500) за замовчуванням, тому вони вважаються для встановлення. Це означає, що лише пакети, які вважаються більш бажаними, ніж встановлені на даний момент, - це оновлення безпеки. Докладніше про закріплення на сторінці apt_preferences .

Ви можете тимчасово просувати певний дистрибутив для оновлень за допомогою --target-releaseпараметра, який працює з ( apt-getі aptitudeпринаймні), який дозволить вам закріпити певні випуски, щоб вони мали право на оновлення.

Якщо ви хочете використовувати це лише для сценаріїв, а не робити це за замовчуванням для системи, ви можете розмістити правила в іншому місці та використовувати це замість цього:

apt-get -o Dir::Etc::Preferences=/path/to/preferences_file upgrade

Це дозволить вдало шукати файл налаштувань з місця, яке не використовується за замовчуванням.

Файл уподобань, наведений як приклад, не застосовується до сторонніх сховищ, якщо ви хочете їх також apt-cache policyзафіксувати, ви можете легко встановити необхідні ключі для закріплення.

У Ubuntu 14.04 LTS підтверджено наступне.

Скористайтеся unattended-upgradeпакетом.

Подивіться на файл /etc/apt/apt.conf.d/50unattended-upgrades. Угорі має бути розділ, який є:

// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
//  "${distro_id}:${distro_codename}-updates";
//  "${distro_id}:${distro_codename}-proposed";
//  "${distro_id}:${distro_codename}-backports";
};

Зверніть увагу, як це було налаштовано, щоб дозволити оновлення без нагляду для пакетів безпеки за замовчуванням.

Змініть файл, /etc/apt/apt.conf.d/10periodicподібний до:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

Це запускатиме автоматичні оновлення безпеки без нагляду один раз на день.

Тепер, щоб запустити вручну sudo unattended-upgrade.

Для того, щоб перевірити , як суху трасу, нічого не роблячи: sudo unattended-upgrade --dry-run.

Джерело: https://help.ubuntu.com/14.04/serverguide/automatic-updates.html

Хоча це досить некрасиво, ви можете вимкнути всі сховища, окрім сховища безпеки, а потім зробити:

sudo apt-get update && sudo apt-get upgrade

Я не перевіряв це, але теоретично він знайде лише оновлення в репортажі безпеки та застосує їх ...

• apt-get update: просто прочитайте записи в сховищі - відповідно до наявного списку. Потрібно перевірити, що нового.
• apt-get upgrade: всі оновлення встановлених пакетів без модулів ядра. Немає оновлення випуску
• apt-get dist-upgrade: усі оновлення встановлених пакетів також з модулями ядра. Немає оновлення випуску
• apt-getз параметром -s: лише тест, зміни не виконуються.

У Debians я використовую цю команду, щоб робити лише оновлення безпеки:

apt-get install -y --only-upgrade $( apt-get --just-print upgrade | awk 'tolower($4) ~ /.*security.*/ || tolower($5) ~ /.*security.*/ {print $2}' | sort | uniq )

Я не можу знайти варіант ні в підході, ні в здатності, проте у когось було те саме питання щодо SuperUser. Єдина відповідь:

Check and adjust /etc/apt/apt.conf.d/50unattended-upgrade. 
Did you replace 'karmic' with the code name of your Ubuntu?

Немає відповіді на те, чи працювало це.

Ось сценарій, який досягає цього кількома різними способами:

#!/usr/bin/env bash
set -e

# List upgradable packages
apt-get update
apt list --upgradable 2>/dev/null
# List security upgrades
test "$(apt-get upgrade -s -y)" && (apt-get upgrade -s -y)
# List upgradable apt packages then upgrade
apt-get update && apt-get upgrade -y  -V | grep '=>' | awk '{print$1}' && test "$(apt-get upgrade -y)"