Jak zmusić mój serwer do wysłania mi e-maila, gdy pojawią się aktualizacje zabezpieczeń?

12

Jest oczywiście sposób, aby sprawdzić, kiedy aktualizacja jest aktualizacją zabezpieczeń. Często wita mnie motd, który mówi „jest N aktualizacji zabezpieczeń”.

Chcę, aby mój serwer wysłał mi e-mailem listę pakietów, które wymagają aktualizacji ze względów bezpieczeństwa.

Aby pójść o krok dalej, wiadomość e-mail zawiera link do odpowiedniego powiadomienia o bezpieczeństwie od Ubuntu.

Zasadniczo każdy serwer jest nieco wyjątkowy. Otrzymałem kilka e-maili z bezpiecznej listy mailingowej dla pakietów, których nie zainstalowałem na żadnym / wszystkich serwerach. Chciałbym więc, aby każdy serwer powiedział mi, czego potrzebuje. W ten sposób mogę terminowo stosować aktualizacje, unikając ponownego uruchamiania usług, takich jak Apache, które mogą powodować pewne przestoje.

Jak mogłem to zrobić?

server apt updates security email David R.
źródło
1
Czy zastanawiałeś się nad skonfigurowaniem uaktualnień nienadzorowanych i powiedziałeś, aby automatycznie instalowało tylko aktualizacje zabezpieczeń?
Thomas Ward
1
Chcę uniknąć instalowania aktualizacji, które mogą coś zepsuć lub spowodować ponowne uruchomienie usług. Nienadzorowane aktualizacje mogą zrobić obie te rzeczy.
David R.
Ale aktualizacje zabezpieczeń tego nie zrobią, aktualizacje zabezpieczeń są zwykle poprawkami, które są sprawdzane przed przesłaniem. Jeśli skonfigurujesz aktualizacje nienadzorowane do WYŁĄCZNIE wykonywania aktualizacji zabezpieczeń, prawdopodobnie niczego nie zepsujesz.
Thomas Ward
Aktualizacja zabezpieczeń Apache wymagałaby ponownego uruchomienia Apache, prawda?
David R.
Nie jestem ekspertem w pakiecie Apache, ale uważam , że automatycznie wydaje polecenie restartu po aktualizacji. Musiałbym sprawdzić jego skrypty inicjujące i skrypty instalacyjne, aby się zorientować, ale ponowne uruchomienie oznacza tylko chwilowe ponowne uruchomienie i wszystko wraca do normy szybko, zwykle w ciągu kilku sekund, czasem w ciągu minuty. Ale jeśli nie będziesz go aktualizować, utkniesz z błędami i wieloma podatnościami na zagrożenia
Thomas Ward

Odpowiedzi:

1

Z poprzedniego postu. możesz uruchamiać aktualizacje bezpieczeństwa za pomocą wiersza poleceń za pomocą.

sudo unattended-upgrade

Sprawdziłem to i możesz również użyć opcji wiersza poleceń 

 sudo unattended-upgrade --dry-run

Aby pobrać aktualizacje, ale nie zainstalować.

Podczas uruchamiania programu nie otrzymuję żadnych danych wyjściowych, myślę, że dzieje się tak, ponieważ mam ustawiony system na automatyczną aktualizację. Jeśli możesz uzyskać z tego wynik, po prostu dowiedz się, jak wyglądają zaktualizowane i oczekujące aktualizacje, i napisz skrypt powłoki, aby wysłać Ci wiadomość e-mail zawierającą wyniki oczekujących aktualizacji.

Następnie uruchom ten skrypt jako zadanie crona.

Uwaga: użyj crontab -e do uruchamiania zadań jako root.

tweirick
źródło
Nie pytam, jak zainstalować aktualizacje. To łatwe. Nie pytam też, jak stwierdzić, czy potrzebne są aktualizacje zabezpieczeń. Pytam, w jaki sposób zostać powiadomionym JAKIE aktualizacje bezpieczeństwa należy zastosować do poszczególnych serwerów bez konieczności logowania się.
David R.
Czy adres e-mail oczekujących, ale niezainstalowanych aktualizacji nie powinien tego osiągnąć?
tweirick
Ach, przepraszam, będę obwiniał alergie, o które walczyłem, że nie widziałem pogrubionego tekstu ...
David R.
6

Możesz użyć narzędzia wywoływanego, apticronaby powiadomić Cię, gdy będą dostępne nowe aktualizacje. Wysyła ci e-mail z informacją o oczekujących aktualizacjach, a także daje ci możliwość wysłania ci tylko e-maila o aktualizacjach, które nie zostały wcześniej zgłoszone.

Aby skonfigurować apticronedycję /etc/apticron/apticron.confi zmianę wiersza zawierającego adres e-mail:

EMAIL="[email protected]"

Wpisz adres e-mail, na który chcesz otrzymywać powiadomienia.

Aby uzyskać więcej informacji, patrz apticron człowieka .

Mikrofon
źródło
Nie mogłem skonfigurować apticronu, aby wysyłał tylko aktualizacje zabezpieczeń. Wysyła powiadomienia o wszystkich aktualizacjach, w tym aktualizacjach niezwiązanych z zabezpieczeniami, które powodują zbyt dużo hałasu, aby były dla mnie przydatne.
Hontvári Levente