Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
technique:adminsys:secu:automatic_updates [2021/01/30 23:12] – qduchemi | technique:adminsys:secu:automatic_updates [2021/11/22 21:53] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. qduchemi |
---|
Les failles de sécurité sont un risque majeur pour l'infrastructure. Un exemple emblématique est la récente [vulnérabilité de sudo](https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt), présente depuis plus de 10 ans, qui permet à n'importe quel utilisateur non-privilégié d'obtenir des droits d'administration. | Les failles de sécurité sont un risque majeur pour l'infrastructure. Un exemple emblématique est la récente [vulnérabilité de sudo](https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt), présente depuis plus de 10 ans, qui permet à n'importe quel utilisateur non-privilégié d'obtenir des droits d'administration. |
| |
<bootnote critical>Ce genre de failles est critique : dès qu'elle est rendue public, des robots commencent à tenter d'exploiter les vulnérabilités sur des plages d'IP et se servent des intrusions pour construire des réseaux de bots, miner des cryptomonnaies ou exfiltrer/chiffrer des données.</bootnote> | <bootnote critical>Ce genre de failles est critique : dès qu'elle est rendue publique, des robots commencent à tenter d'exploiter les vulnérabilités sur des plages d'IP et se servent des intrusions pour construire des réseaux de bots, miner des cryptomonnaies ou exfiltrer/chiffrer des données.</bootnote> |
| |
Il est donc très désirable d'obtenir les mises à jour de sécurité le plus rapidement possible dès qu'un *patch* est disponible. | Il est donc très désirable d'obtenir les mises à jour de sécurité le plus rapidement possible dès qu'un *patch* est disponible. |
``` | ``` |
Unattended-Upgrade::Package-Blacklist { | Unattended-Upgrade::Package-Blacklist { |
"linux-"; | "linux-headers*"; |
"grub-"; | "linux-image*"; |
| "linux-generic*"; |
| "linux-modules*"; |
| "grub-*"; |
}; | }; |
``` | ``` |
### Envoyer un mail lors des mises à jour | ### Envoyer un mail lors des mises à jour |
| |
<bootnote>On suppose que les machines ont la [[technique:infrastructure:machines_virtuelles:mail_proxmox|capacité d'envoyer des mails via le serveur mail de Picasoft]].</bootnote> | <bootnote>On suppose que les machines ont la [[technique:adminsys:tips:mail|capacité d'envoyer des mails via le serveur mail de Picasoft]].</bootnote> |
| |
Éditer le fichier `/etc/apt/listchanges.conf` : | Éditer le fichier `/etc/apt/listchanges.conf` : |
which=both | which=both |
``` | ``` |
| |
| `unattended-upgrades` utilise `apt-listchanges` pour formater la sortie des mises à jour et envoyer un email à l'adresse demandée. |