Як змусити сервер надсилати електронну пошту, коли є оновлення безпеки?

Очевидно, існує спосіб перевірити, коли оновлення є оновленням безпеки. Мене часто привітає компанія, що каже, "є N оновлень безпеки".

Що я хотів би зробити, це, щоб мій сервер надіслав мені електронний лист із переліком пакунків, необхідних для оновлення з міркувань безпеки.

Щоб зробити крок далі, електронний лист посилатиметься на відповідне повідомлення про безпеку від Ubuntu.

В основному кожен сервер дещо унікальний. Я отримав декілька електронних листів у списку розсилки безпеки для пакунків, які не маю на будь-якому / всіх серверах. Тому я хотів би, щоб кожен окремий сервер сказав мені, що йому потрібно. Таким чином я можу застосовувати оновлення своєчасно, уникаючи перезапуску таких служб, як Apache, які можуть спричинити певний час простою користувачів.

Як я міг це зробити?

— Девід Р.
джерело

Чи задумувались ви над тим, як налаштувати оновлення без нагляду і сказати, щоб вони автоматично встановлювали оновлення кишені безпеки?

— Thomas Ward

Я хочу уникати встановлення оновлень, які можуть щось порушити або призвести до перезавантаження служб. Без уважного оновлення можна зробити і те, і інше.

— Девід Р.

Але оновлення безпеки цього не зробить, оновлення безпеки - це зазвичай виправлені помилки, які тестуються перед завантаженням. Якщо ви налаштуєте оновлення без нагляду для ТОЛЬКО оновлення безпеки, швидше за все, це нічого не порушить.

— Thomas Ward

Оновлення безпеки Apache вимагатиме перезавантаження Apache, правда?

— Девід Р.

Я не є експертом у пакеті Apache, але я вважаю, що він автоматично видає команду перезапуску після оновлення. Мені доведеться перевірити його сценаріїв init та його сценарії встановлення, щоб визначити це, але перезапуск означає лише миттєвий перезапуск, і все повернеться до норми швидко, як правило, протягом декількох секунд, іноді протягом хвилини максимум. Але якщо ви не будете постійно оновлювати його, ви застряжете з помилками та великою кількістю вразливих ситуацій

— Thomas Ward

Відповіді:

З попереднього допису. ви можете запустити оновлення безпеки за допомогою командного рядка за допомогою.

sudo unattended-upgrade

Я перевірив це, і ви також можете скористатися параметром командного рядка

 sudo unattended-upgrade --dry-run

Щоб завантажити, але не встановити оновлення.

Під час запуску програми я не отримую жодного результату, я думаю, це тому, що в мене встановлена система автоматичного оновлення. Якщо ви можете отримати вихід із цього, просто з’ясуйте, як виглядають оновлені та очікувані оновлення, і напишіть сценарій оболонки, щоб надіслати вам електронний лист, що містить висновок оновлених оновлень.

Потім запустіть цей скрипт як завдання cron.

Примітка: використовуйте crontab -e для запуску завдань як root.

— твейрік
джерело

Я не запитую, як встановити оновлення. Це просто. Я також не запитую, як сказати, чи потрібні оновлення безпеки. Я запитую, як отримувати сповіщення про те, ЯКІ оновлення безпеки потрібно застосовувати для окремих серверів, без мене потрібно входити.

— David R.

Чи не має цього досягти електронний лист очікуваних, але не встановлених оновлень?

— твірік

Ах, пробачте, я буду звинувачувати алергію, з якою я боровся за те, що я не бачив тексту, який ви виділили жирним шрифтом ...

— Девід Р.

Ви можете використовувати інструмент, покликаний apticronповідомляти вас про появу нових оновлень. Він надсилає вам електронну пошту про очікувані оновлення, а також надає вам можливість надсилати вам електронну пошту лише про попередні оновлення.

Для налаштування apticronредагування /etc/apticron/apticron.confта зміни рядка, що містить адресу електронної пошти:

EMAIL="admin@example.com"

Введіть електронну адресу, на яку ви хочете отримувати сповіщення.

Для отримання додаткової інформації дивіться людина apticron .

— Майк
джерело

Не вдалося налаштувати apticron, щоб надсилати лише оновлення безпеки. Він надсилає сповіщення про всі оновлення, включаючи оновлення, які не стосуються безпеки, які спричиняють занадто багато шуму для мене.

— Hontvári Levente