ubuntuusers.de

Ich frage mich gerade, ob das Paket "unattended-upgrades" (für automatische Updates des Systems) standardmäßig nur wichtige Sicherheitsupdates installiert, oder eben "alles"?

Laut der Seite https://websiteforstudents.com/setup-automatic-security-updates-on-ubuntu-18-04-lts-beta-server/ soll man nämlich bei Unattended-Upgrade::Allowed-Origins alles auskommentieren außer "${distro_id}:${distro_codename}-security";, um eben nur kritische Updates zuzulassen.

Allerdings steht auf sehr vielen Seiten im Internet, dass "unattended-upgrades" standardmäßig nur für Sicherheitsupdates da ist und man somit an der Konfiguration gar nichts mehr ändern müsste.

Was stimmt denn nun? Sind die Sicherheitsupdates nur in -security oder sind die in allen standardmäßig angegebenen Quellen und in -security sind nur die ganz wichtigen? Oder gibt es noch eine andere Wahrheit?

Nachtrag: Warum ich überhaupt nur die wichtigen Updates haben will: Das System ist ein Produktivsystem (u. a. Webserver), bei dem ich keine Ausfälle durch fehlerhafte Updates haben möchte. Da ich jeden Tag über neue Updates vom System informiert werde und spätestens nach 24h diese manuell installiere, sehe ich eigentlich kein Problem darin, eben nur die absolut kritischen Updates automatisch installieren zu lassen.

King555 schrieb:

Allerdings steht auf sehr vielen Seiten im Internet, dass "unattended-upgrades" standardmäßig nur für Sicherheitsupdates da ist und man somit an der Konfiguration gar nichts mehr ändern müsste.

Nun, in Aktualisierungen/Konfiguration (Abschnitt „unattended-upgrades“) steht, wie das konfiguriert wird. Ergo kannst du aus dem aktuellen Eintragungsstand in der Datei herauslesen, was da bisher eingespielt wird.

Sind die Sicherheitsupdates nur in -security oder sind die in allen und in -security sind nur die ganz wichtigen? Oder gibt es noch eine andere Wahrheit?

Es gibt bei Sicherheitsupdates keine Unterscheidung in "ganz wichtig" und "nicht so wichtig" (es sei denn, du nutzt Mint, dann gibt noch "vermutlich nicht wichtig" und "der Nutzer wird schon wissen, ob er sie braucht).

Wo die Sicherheitsupdates sind ist nicht eindeutig. Natürlich unter bionic-security (in deinem Fall), allerdings werden ältere Versionen der entsprechende in bionic-updates gegen die aus bionic-security ersetzt, so dass in beiden Repos die selbe (aktuelle) Version liegen kann.

Aber alles nur für die Ubuntu-Paketquellen, für andere Quellen braucht es einen separaten Eintrag oder einen, der für alle Quellen Updates einspielt. Hier müsste dann noch dieser Block hinzugefügt werden:

Unattended-Upgrade::Origins-Pattern {
        "origin=*";
};

Danke euch beiden.

Ich werde vmtl. die automatischen Updates einfach ganz deaktivieren und nur manuell aktualisieren, wie ich es die letzten 10 Jahre auch schon gemacht habe. Es wird mir einfach viel zu viel automatisch installiert (trotz nur "${distro_id}:${distro_codename}-security";), das ist mir zu riskant. Meine Hoffnung war, dass es einen Updatekanal für tatsächlich kritische Updates gibt. Heute wurde z. B. das tzdata-Paket automatisch aktualisiert, was bestimmt keine Sicherheitslücke schließt (das ist nur ein Beispiel, denn dass dieses Paket nach dem Update meine Websites unerreichbar macht, ist natürlich unwahrscheinlich).

Zeige uns doch bitte mal den ganzen Paketnamen. Das steht in /var/log/apt/history.log.

Meinst du den Paketnamen von tzdata? Das hier ist der Eintrag:

Start-Date: 2020-05-21  06:38:03
Commandline: /usr/bin/unattended-upgrade
Upgrade: tzdata:amd64 (2019c-0ubuntu0.18.04, 2020a-0ubuntu0.18.04)
End-Date: 2020-05-21  06:38:03

Ich könnte mir jetzt vorstellen, dass es evtl. daran liegt, dass andere Komponenten aktualisiert wurden, die dieses Paket auch aktuell haben müssen. Es wurde z. B. ein Kernel-Update automatisch installiert.

eoan (19.10) (libs): time zone and daylight-saving time data

Wird wohl ne Änderung gegeben haben. Betrachte ich jetzt als wichtig.

Wichtig möglicherweise, aber "Security"-wichtig? Naja, wie gesagt, ich deaktiviere die automatischen Updates jetzt.