Parches de seguridad en Ubuntu
Aprendemos a instalar de forma manual parches de seguridad en sistemas Ubuntu. No cabe duda la importancia de mantener nuestros sistemas siempre al día, sobre todo en lo que respecta a las partes más críticas.
Hay que recordar que recientemente os hablé de los 12 pasos para asegurar tu servidor Linux y de como configurar actualizaciones automáticas en sistemas Ubuntu. Esto último es ideal para entornos no productivos. Pero en entornos productivos los parcheos se deben hacer de forma manual, coordinando nuestro trabajo con el de otros equipos, como por ejemplo el de seguridad.
Aplicar parches de seguridad en Ubuntu
Ubuntu no dispone de comandos específicos para los parches de seguridad, como si es el caso de sistemas como RHEL y Centos, o SUSE y openSUSE
De todas formas, podemos listar los paquetes de seguridad disponibles para nuestro sistema, de la siguiente manera:
apt-get -s dist-upgrade| grep "^Inst" | grep -i security
Con un resultado similar al siguiente:
david@servubuntu:~$ sudo apt-get -s dist-upgrade| grep "^Inst" | grep -i security Inst libext2fs2 [1.44.1-1] (1.44.1-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [e2fsprogs:amd64 on libext2fs2:amd64] [e2fsprogs:amd64 ] Inst e2fsprogs [1.44.1-1] (1.44.1-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) Inst gpg-wks-client [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gnupg:amd64 ] Inst dirmngr [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gnupg:amd64 ] Inst gpg [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gpg-wks-server:amd64 gnupg:amd64 ] Inst gnupg-utils [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gpg-wks-server:amd64 gnupg:amd64 ] Inst gnupg-l10n [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [all]) [gpg-wks-server:amd64 gnupg:amd64 ] Inst gpg-agent [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gpg-wks-server:amd64 gnupg:amd64 ] Inst gpgsm [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gpg-wks-server:amd64 gnupg:amd64 ] Inst gpgconf [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gpg-wks-server:amd64 gnupg:amd64 ] (...)
Para aplicar el parcheado lo podemos hacer de dos formas, por lo menos desde mi experiencia.
Una sería utilizar la misma línea de búsqueda enviado la salida standard (stdout) a apt-get install
apt-get -s dist-upgrade | grep "^Inst" | grep -i securi | \ awk -F " " {'print $2'} | xargs apt-get install -y
O bien de la siguiente forma:
for i in $( apt-get -s dist-upgrade | grep "^Inst" | grep -i securi | \ awk -F " " {'print $2'}); do apt-get install $i -y ; done
Al final cada maestrillo tiene su librillo.
Espero que esta entrada os sea de utilidad en algún momento.
Nos vamos leyendo.
Es posible instalar solo actualizaciones de seguridad en Ubuntu con el comando unattended-upgrades -d
Hola colega,
Con «unattended-upgrades», tienes las actualizaciones automáticas (todas), con el parámetro «-d», utilizas la herramienta en modo debug. Por lo que no sirve cuando quieres únicamente actualizar los paquetes de seguridad.
Saludos
Creí que solo las hacía de seguridad, a veces lo pruebo y no me actualiza todos los paquetes.
Muy mal no tener una opción más sencilla de instalar solo parches de seguridad. Acabo de instalar un servidor con Ubuntu 18 y tiene actualizaciones que piden reinicio casi todos los días, me estoy arrepintiendo de no haber metido CentOS