Автоматическая установка обновлений безопасности Debian

1. Обновите список репозиториев

Убедитесь, что в файле /etc/apt/sources.list есть репозиторий с обновлениями безопасности. Пример для Debian 12 (Bookworm):

deb http://security.debian.org/debian-security bookworm-security main contrib non-free

2. Установите unattended-upgrades

sudo apt update && sudo apt install unattended-upgrades

3. Настройте автоматические обновления

Отредактируйте файл /etc/apt/apt.conf.d/50unattended-upgrades:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Оставьте только строки, связанные с обновлениями безопасности:

Unattended-Upgrade::Origins-Pattern {
    "origin=Debian,codename=${distro_codename}-security";
};
// Закомментируйте или удалите остальные репозитории

4. Включите автоматическое обновление

Создайте или отредактируйте файл /etc/apt/apt.conf.d/20auto-upgrades:

sudo nano /etc/apt/apt.conf.d/20auto-upgrades

Добавьте:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::AutocleanInterval "7";

5. Перезапустите службу и добавляем в автозагрузку

sudo systemctl restart unattended-upgrades
sudo systemctl enable  unattended-upgrades

6. Проверьте конфигурацию

Выполните тестовый запуск:

sudo unattended-upgrade --dry-run --debug

7. Настройка уведомлений (опционально)

Добавьте в /etc/apt/apt.conf.d/50unattended-upgrades:

Unattended-Upgrade::Mail "your_email@example.com";
Unattended-Upgrade::MailOnlyOnError "false";
Unattended-Upgrade::MailCommand  "/usr/bin/mutt -s "[APT]_Обновления_безопасности" your_email@example.com < /var/log/unattended-upgrades/unattended-upgrades.log";
Unattended-Upgrade::MailReport "on-change";

С настройка почтового клиента mutt для отправки почты моздно ознакомится тут

8. Мониторинг логов

Проверяйте логи обновлений:

tail -f /var/log/unattended-upgrades/unattended-upgrades.log

Дополнительные рекомендации:

needrestart: Установите для автоматической перезагрузки сервисов:

sudo apt install needrestart

Исключения: Чтобы исключить пакеты из автообновления, добавьте их в:

Unattended-Upgrade::Package-Blacklist {
    "пакет1";
    "пакет2";
}

Теперь система будет автоматически устанавливать только обновления безопасности из репозитория security.debian.org.