Der geneigte Administrator hat bei der Wahl seiner Sicherheitsstrategie immer wieder aufs neue elementare Dinge zu beachten. Zum einen muss er Augen und Ohren offen halten um Sicherheitlöcher mitzubekommen, zum anderen muss er sich immer wieder aufs neue Zeitfenster schaffen in denen er die entsprechenden Sicherheitsupdates auch einspielt.
Letzteres findet in aller Regel nach Feierabend und/oder Nachts statt.
Da ich von meiner Tendenz her eher zu den fauleren Administratoren gehöre und mich lieber mit der Arbeit an und mit Systemen anstatt mit dem Stopfen von Löchern beschäftige, kommt mir ein Programm wie cron-apt grade recht.
Mein freundlicher Arbeitskollege, der sich aktuell mit einer möglichst angenehmen Art und Weise des aktuell haltens unserer Serverlandschaft beschäftigt, wies mich darauf hin. Es handelt sich letztendlich nur um ein kleines Tool und einen zusätzlichen Cronjob, welcher die eingestellte Auswahl an Software aktuell hält und ggf. Downloads oder auch gleich (wie bei mir) die installation ausführt.
Da es mir primär um Sicherheitsupdates geht, gibt es einige Anpassungen die von der Standardinstallation abweicht. Diese lassen sich aber schön einfach zusammenfassen – ganz wie ich es mag :)
Installation
apt-get update && apt-get install cron-apt
Konfiguration
In diesem Beispiel werden nur Security Updates gesucht und installiert.
cat /etc/apt/sources.list | grep security > /etc/apt/sec-sources.list
cat > /etc/cron-apt/config << EOF
OPTIONS=”-q -o Dir::Etc::SourceList=/etc/apt/sec-sources.list”
MAILON=”upgrade”
MAILTO=”deine@adresse.de”
EOF
und zu guter letzt noch
cat > /etc/cron-apt/action.d/3-download << EOF
autoclean -y
dist-upgrade -y -o APT::Get::Show-Upgraded=true
EOF
Damit erreichen wir folgendes:
Es gibt einen Cronjob um 4 Uhr morgens (standard)
Es gibt eine zusätzliche apt-sources list nur für Sicherheitsupdates die von Cron-apt genutzt wird.
Updates werden heruntergeladen und auch gleich installiert
Es findet eine Bereinigung statt, sodass APT die Festplatte nicht sonderlich voll müllt.
Ihr bekommt (bei eingerichtetem MTA) eine Mail über die Updates, welche durchgeführt wurden.
Vielen Dank an MM für diese Steigerung der Lebensqualität.