unattended-upgrades auf Ubuntu so konfigurieren, wie Produktion es wirklich braucht

unattended-upgrades ist auf Ubuntu standardmäßig ausgeliefert, aber die Default-Konfiguration ist ein Kompromiss zwischen „Sicherheits-Updates schnell patchen" und „den Benutzer nicht überraschen". Auf einer gemanagten Flotte ist dieser Kompromiss in beide Richtungen falsch. Wir wollen Sicherheits-Patches in Minuten, nicht Tagen. Wir wollen auch Kernel-Reboots nach Zeitplan, nicht wann apt es entscheidet.

Dies ist die Konfiguration, die wir beim Onboarding auf jeden Ubuntu-Host in unserer gemanagten Flotte anwenden.

Die gehärtete Konfig

// /etc/apt/apt.conf.d/50unattended-upgrades
Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}ESMApps:${distro_codename}-apps-security";
    "${distro_id}ESM:${distro_codename}-infra-security";
};
Unattended-Upgrade::Package-Blacklist {
    "linux-image-*";
    "linux-headers-*";
    "linux-generic";
    "postgresql-*";
    "mysql-server*";
};
Unattended-Upgrade::Automatic-Reboot "false";
Unattended-Upgrade::MinimalSteps "true";
Unattended-Upgrade::Remove-Unused-Dependencies "true";

Security-Pockets automatisch patchen, aber niemals automatisch neu starten und niemals automatisch den Kernel oder Stateful Services wie Postgres und MySQL upgraden. Die gehen durch ein kontrolliertes Maintenance-Fenster.

Der vollständige Beitrag behandelt:

• Die vier apt-Pockets (release, updates, security, backports) und welche zu aktivieren
• Package-Blacklisting — Kernel, Datenbanken, Anwendungs-Runtimes
• Reboot-Orchestrierung via needrestart und einem flottenweiten Cron
• Gestaffelte Rollouts: 10 % der Flotte, dann 50 %, dann 100 %
• Den unattended-upgrades-Output an das SIEM loggen
• Die livepatch-Integration für Kernel-CVEs, die nicht warten können

Wir wenden dieses Baseline auf jeden gemanagten Ubuntu-Host an.