Ubuntu 16’da Otomatik Güvenlik Güncellemeleri Nasıl Yüklenir?

Sunucunuzdaki güvenlik yenilemeleri bilgi işlemin vazgeçilmezidir ve de Linux için çok güvenli olduğunu söyleyebiliriz. Yine de bu bile güvenlik yamaları ile düzeltilmesine ihtiyaç olduğu gerçeğini yok edemez. Genelde Linux güvenlik yamalarını duyurduktan 30 gün sonra güncellemeyi sağlamanız gerekir.

Yazımızda, otomatik güvenlik yamalarının Ubuntu 16.04 sunucusunda adım adım nasıl yapıldığını anlatmaya çalıştık. Burada ki adımları uyguladığınızda, güvenlikle ilgili paketleri herhangi bir  güncelleme duyurulduğu zaman, sunucunuz otomatikman paketleri indirip güvenliği sağlar.

1 – Katılımsız yükseltmeleri  yüklemek

İlk yapılması gereken ‘katılımsız yükseltmeler’ paketini sunucunuza kurmak. Bu Ubuntu repoda mevcuttur ve apt komutunu ile yüklenebilir.

SSH girişini kullanarak sunucunuza giriş yapın.

ssh root @ sunucunuz
Depoları güncelleyin ve aşağıdaki ‘apt’ komutunu kullanıp ‘katılımsız yükseltmeleri’ tamamlayın.
sudo apt update
sudo apt install unattended-upgrades
Kurulumdan sonra, yapılandırmayı ‘/etc/apt/apt.conf.d’ dosyasında düzenlemeliyiz.

2 – Katılımsız yükseltmeleri yapılandırın

Katılımsız yükseltme yapılandırması ‘/etc/apt/apt.conf.d’ dosyasındadır. Güncelleme türünü, kara liste güncellemelerini tanımlamak için yapılandırmayı düzenlemeniz ve bazı ek yapılandırmalar gerekir.

‘ /etc/apt/apt.conf.d ‘ dizinine gidin ve vim düzenleyicisini kullanarak yapılandırma dosyasını ‘ 50unattended-upgrades ‘ dosyasını düzenleyin .

cd /etc/apt/apt.conf.d/
vim 50unattended-upgrades

Yükseltme türü tanımlama

Ubuntu sunucunuza güncelleme veya yükseltme türü tanımlamalısınız. Bu katılımsız yükseltme , tüm paketleri güncellemek ve sadece güvenlik güncelleştirmeleri de dahil olmak üzere bazı otomatik güncelleştirme türlerini içeir. Şimdi kılavuzda yalnızca Ubuntu 16.04 sistemi için ‘güvenlik’ güncellemesini etkinleştirmek istiyoruz.

Şimdi ilk blok yapılandırmasında ‘İzin Verilen Menşe’, tüm satırları yorumlayın ve aşağıda gösterildiği gibi yalnızca güvenliği göz ardı edin.

Unattended-Upgrade::Allowed-Origins {
// "${distro_id}:${distro_codename}";
"${distro_id}:${distro_codename}-security";
// Extended Security Maintenance; doesn't necessarily exist for
// every release and this system may not have it installed, but if
// available, the policy for updates is such that unattended-upgrades
// should also install from here by default.
// "${distro_id}ESM:${distro_codename}";
// "${distro_id}:${distro_codename}-updates";
// "${distro_id}:${distro_codename}-proposed";
// "${distro_id}:${distro_codename}-backports";
};

Kara Liste İçin Paketler

Bu adımda ikinci blokta kara listede bulunan paket yapılandırması yapılır. Bu aşamada hangi paketlerin bir güncellemeye izin verildiğini ve hangilerinin vermediğini tanımlayabiliriz. Genelde, bazı paketlerin güncellenmesini istemiyoruz çünkü herkoşulda sistem için kritik önemi var.

Bu bölümde, kara liste paketleri yapılandırmasına örnek verelim. Örneğimizde, ‘vim’, ‘mysql-server’ ve ‘mysql-client’ ‘ın yükseltilmesini istemediğimizi varsayıyoruz , bu durumda kara liste yapılandırması aşağıda gösterilen şekle benzer olması iyi olur.

Unattended-Upgrade::Package-Blacklist {
"vim";
"mysql-server";
"mysql-client";
// "libc6";
// "libc6-dev";
// "libc6-i686";
};

Ek Yapılandırma

Bu aşamadan sonra, katılımsız güncellemelerle sağlanan bazı özellikleri ekleyip etkinleştirelim. Her güncellemede bir e-posta bildirimi isteyelim, kullanılmayan paketleri otomatik olarak kaldıralım ve gerekirse otomatik yeniden başlatalım.

E-posta bildirimi için aşağıdaki satırın yenıdaki işareti kaldırın.

Unattended-Upgrade::Mail "root";

Ubuntu sunucunuzda mailx veya sendmail paketlerinin kurulu olduğuna emin olun. Komut ortamında posta uygulamasını yüklemek için aşağıdaki komutu yazın.

sudo apt install -y sendmail

Kullanılmayan paketleri otomatik olarak kaldırmak için aşağıdaki satırı kaldırın ve değeri ‘true’ olarak değiştirin.

Unattended-Upgrade::Remove-Unused-Dependencies "true";

Şimdi yükseltmeden sonra otomatik olarak yeniden başlatmak için (gerekliyse), ‘Otomatik-Yeniden Başlat’ komutunun yanındaki işareti kaldırın ve değerini ‘true’ olarak değiştirin.
Unattended-Upgrade::Automatic-Reboot "true";
‘Otomatik-Yeniden Başlat’ ayarını yaptıktan sonra ve sunucunun tüm güncelleme paketleri yüklenince sunucu otomatik olarak yeniden başlatılacaktır. Sunucunun yeniden başlatma süresini ilgili yapılandırma satırının adını kaldırarak yeniden başlatma değerini değiştirebiliriz. İşte konfigürasyon:
Unattended-Upgrade::Automatic-Reboot-Time "00:00";
Kaydetip çıkın.

Katılımsız yükseltme paketi kuruldu ve tüm yapılandırma tamamlandı.

3- Otomatik güncellemeleri etkinleştirin

3. adımda paketlerin otomatik güncellemelerini etkinleştirmek için otomatik güncelleme yapılandırmasını düzenlemeliyiz.

‘ /etc/apt/apt.conf.d ‘ dizinine gidin ve ‘ 20auto-upgrades ‘ yapılandırma dosyasını  düzenleyin .
cd /etc/apt/apt.conf.d/
vim 20auto yükseltmeleri

Yapılandırmayı aşağıdaki gibi yapın.
APT :: Periodic :: Update-Paket-Listeleri "1";
APT :: Periodic :: Download-Upgradeable-Packages "1";
APT :: Periodic :: AutocleanInterval "3";
APT :: Periodic :: Katılımsız-Upgrade "1";
Kaydedin ve çıkın.

4- Güncellenmiş paketleri kontrol edelim

Güncellenmiş paketlerin tümünü tanımlamak için ‘/ var / log / unattended-upgrades’ dizininde bulunan katılımsız yükseltme günlüklerini kontrol etmemiz gerekmektedir.

‘/ Var / log / unattended-upgrades’ dizinine gidin ve mevcut günlükleri kontrol edin.

cd /var/log/unattended-upgrades
ls -lah