Point sur la gestionMises à jour de sécurité

Vos petites astuces, répertoire des tutoriels et astuces
Verrouillé
Avatar du membre
cyrille
Administrateur du site
Messages : 12285
Enregistré le : mar. 19 sept. 2017 08:49
Localisation : Nowhere
Contact :

Point sur la gestionMises à jour de sécurité

Message par cyrille »

Gestion des mises à jour de sécurité (via apt, apt-get), manuellement ou automatiquement. Sous Debian, Mint, Ubuntu...

Avant propos, il existe un paquet qui gère les mises à jour de sécurité : unattended-upgrade (cf https://www.unix.com/man-page/linux/8/u ... d-upgrade/ ), mais ici il sera présenté comment le faire avec apt ou apt-get puisque ces outils permettent de le faire.


Avant propros
Comme on parle de Debian et de Mint, faire attention au prompt
# Commande admin, sous Mint et Ubuntu à préfixer d'un sudo

Sera d’abord présenté le processus manuel, puis son automatisation via cron-apt (man cron-apt : https://manpages.debian.org/jessie/cron ... .8.fr.html ).


Installer manuellement les mises à jour de sécurité sur un système DEBIAN, Mint, Ubuntu avec apt-get ou apt...

Si en retour, vous avez un message “No packages found that can be upgraded unattended and no pending auto-removals”, c'est que le système est à jour, aucune mise à jour de sécurité n'a été trouvée.


Via apt-get, tout simplement
Pas de paquet tierce à installer. On travaille directement avec apt-get et grep pour filtrer les retours

Recherche des mises à jour de sécurité

Code : Tout sélectionner

# apt-get -s dist-upgrade | grep "^Inst" | grep -i securi

Pour installer ces mises à jour, on utilisera en plus l'utilitaire xargs

Code : Tout sélectionner

# apt-get -s dist-upgrade | grep "^Inst" | grep -i securi | awk -F " " {'print $2'} | xargs apt-get install


Via apt
La recherche

Code : Tout sélectionner

# apt list --upgradable | grep -e "-security"

L'installation

Code : Tout sélectionner

# apt list --upgradable | grep -e "-security" | awk -F "/" '{print $1}' | xargs apt install

Automatisation des mises à jour de sécurité

Les installations automatiques de package ne sont pas recommandées, mais comme il s'agit de mises à jour de sécurité, on peut se le permettent, le reste de bugs étant infime. Ne pas faire de même pour la mise à jour complète du système...

Dans un premier temps, installer cron-apt

Code : Tout sélectionner

# apt-get install cron-apt
Récupérer dans les repo d’apt les entrées des mises à jour de sécurité uniquement

Code : Tout sélectionner

$ find /etc/apt -type f -name '*.list' | xargs cat |  grep -v \"^#\" | grep security
A partir de cela, on va créer un fichier spécifique pour apt ne contenant que les mises à jour de sécurité.

Code : Tout sélectionner

# find /etc/apt -type f -name '*.list' | xargs cat |  grep -v \"^#\" | grep security > /etc/apt/sources.list.d/security-updates-only.list
On va positionner un cron d’apt dessus

Créer dans : /etc/cron-apt/action.d/ un fichier se nommant 5-security-update-only

Avec le contenu suivant :

Code : Tout sélectionner

upgrade -y -o APT::Get::Show-Upgraded=true
OPTIONS="-o quiet=1 -o APT::Get::List-Cleanup=false
 -o Dir::Etc::SourceList=/etc/apt/sources.list.d/security-updates-only.list 
 -o Dir::Etc::SourceParts=\"/dev/null\"
MAILTO=\"vote-mail@ici.ext\"
MAILON=\"always\""
(les 2 dernières lignes sont optionnelles et nécessitent d'avoir un serveur de mail local correctement configuré. Dans ce cas, vous serez averti par mail du résultat de ce cron)

Et hop, c’est joué !

Pour modifier l’horaire des mises à jour, ça se passe dans /etc/cron.d/cron-apt :

Code : Tout sélectionner

# Every night at 4 o'clock.
 0 4 * * * root test -x /usr/sbin/cron-apt && /usr/sbin/cron-apt
A modifier si vous souhaitez un horaire ou une fréquence différents
?séuqartéd sel ruoP / sécnoféd sel ruoP / sreiruréB sel ruoP / ?étéicos elleuQ

https://crust.ovh

LMDE60
Messages : 215
Enregistré le : ven. 3 avr. 2020 18:08
Localisation : Nulle part

Re: Point sur la gestionMises à jour de sécurité

Message par LMDE60 »

Coucou Cyrille,

Les mises a jours de sécurité sont automatisé grace a ce depot (deb http://security.debian.org/ buster/updates main contrib non-free) de sources : https://www.debian.org/security/index.fr.html

Ce dépot se trouve dans le fichier (sources.list) dans le dossier etc/apt/ sur debian ou Ubuntu, ou dans le dossier etc/apt/sources.list.d dans lmde4 (comme la photo ci-dessous)

Qu'est ce que modifie ou apporte ton tuto très intéressant dans le processus classique de mise a jour de sécurité ?

Image
Modifié en dernier par LMDE60 le mar. 21 avr. 2020 17:47, modifié 1 fois.

Avatar du membre
cyrille
Administrateur du site
Messages : 12285
Enregistré le : mar. 19 sept. 2017 08:49
Localisation : Nowhere
Contact :

Re: Point sur la gestionMises à jour de sécurité

Message par cyrille »

Ce dépôt comprend les mises à jour de sécurité, aucunement leur installation automatique...
Bien sûr si tu fais une maj du système, elles seront prises en compte, mais pas automatiquement...

Et le how to permet aussi d'installer QUE les mises à jour de sécurité
?séuqartéd sel ruoP / sécnoféd sel ruoP / sreiruréB sel ruoP / ?étéicos elleuQ

https://crust.ovh

Avatar du membre
cyrille
Administrateur du site
Messages : 12285
Enregistré le : mar. 19 sept. 2017 08:49
Localisation : Nowhere
Contact :

Re: Point sur la gestionMises à jour de sécurité

Message par cyrille »

Et prend toutes les mises à jour de sécurité pas que celles des dépôts par défaut...
?séuqartéd sel ruoP / sécnoféd sel ruoP / sreiruréB sel ruoP / ?étéicos elleuQ

https://crust.ovh

Avatar du membre
arghlub
Administrateur du site
Messages : 10421
Enregistré le : dim. 21 mai 2017 08:19
Localisation : Provence
Contact :

Re: Point sur la gestionMises à jour de sécurité

Message par arghlub »

Salut,

──[ :lock: Sujet Verrouillé ]──────
Tour1 (custom)CM MSI Z270 M3 | CPU Intel I7-7700K | CG Nvidia GTX 1080 | RAM 16Go | tripleBoot : Debian 11 | MXlinux 21 | LMint 19.3 | XFCE
Tour2 (custom)CM Gigabyte | CPU AMD Athlon 5200+ | CG Nvidia GTX 560 | RAM 6Go | FreeBSD 12.1 XFCE
Portable1 MSI GF75 Thin 9SC | CPU Intel I7-9750H | CG Nvidia GTX 1650 | RAM 32Go | dualBoot : LMint 20.2 | MXlinux 21 | XFCE
Portable2 MacBook Air A1466 (2015) | CPU Intel I5-5250U | CG Intel HD Graphics 6000 | RAM 8Go | dualBoot : macOS Sierra | MXlinux 21 XFCE
─────( pour une informatique libre ! -membre en stand-by de l' April.org────────────────

Verrouillé