Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédenteDernière révisionLes deux révisions suivantes |
technique:adminsys:secu:automatic_updates [2021/01/30 15:24] – qduchemi | technique:adminsys:secu:automatic_updates [2021/01/31 14:55] – qduchemi |
---|
Les failles de sécurité sont un risque majeur pour l'infrastructure. Un exemple emblématique est la récente [vulnérabilité de sudo](https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt), présente depuis plus de 10 ans, qui permet à n'importe quel utilisateur non-privilégié d'obtenir des droits d'administration. | Les failles de sécurité sont un risque majeur pour l'infrastructure. Un exemple emblématique est la récente [vulnérabilité de sudo](https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt), présente depuis plus de 10 ans, qui permet à n'importe quel utilisateur non-privilégié d'obtenir des droits d'administration. |
| |
<bootnote critical>Ce genre de failles est critique : dès qu'elle est rendue public, des robots commencent à tenter d'exploiter les vulnérabilités sur des plages d'IP et se servent des intrusions pour construire des réseaux de bots, miner des cryptomonnaies ou exfiltrer/chiffrer des données.</bootnote> | <bootnote critical>Ce genre de failles est critique : dès qu'elle est rendue publique, des robots commencent à tenter d'exploiter les vulnérabilités sur des plages d'IP et se servent des intrusions pour construire des réseaux de bots, miner des cryptomonnaies ou exfiltrer/chiffrer des données.</bootnote> |
| |
Il est donc très désirable d'obtenir les mises à jour de sécurité le plus rapidement possible dès qu'un *patch* est disponible. | Il est donc très désirable d'obtenir les mises à jour de sécurité le plus rapidement possible dès qu'un *patch* est disponible. |
``` | ``` |
Unattended-Upgrade::Package-Blacklist { | Unattended-Upgrade::Package-Blacklist { |
"linux-"; | "linux-headers*"; |
"grub-"; | "linux-image*"; |
| "linux-generic*"; |
| "linux-modules*"; |
| "grub-*"; |
}; | }; |
``` | ``` |
| |
``` | ``` |
Unattended-Upgrade::Mail "updates@picasoft.net"; | Unattended-Upgrade::Mail "tech@picasoft.net"; |
| Unattended-Upgrade::MailOnlyOnError "true"; |
``` | ``` |
| |
Elle indique qu'un rapport de mise à jour sera envoyé à `updates@picasoft.net`. On configurera plus loin dans cette page le programme permettant d'envoyer de tels mails. :-D | Elle indique qu'un rapport de mise à jour sera envoyé à `tech@picasoft.net`, **uniquement en cas d'erreur**. On configurera plus loin dans cette page le programme permettant d'envoyer de tels mails. :-D |
| |
S'assurer que le redémarrage automatique est **désactivé** : | S'assurer que le redémarrage automatique est **désactivé** : |
### Envoyer un mail lors des mises à jour | ### Envoyer un mail lors des mises à jour |
| |
| <bootnote>On suppose que les machines ont la [[technique:infrastructure:machines_virtuelles:mail|capacité d'envoyer des mails via le serveur mail de Picasoft]].</bootnote> |
| |
| Éditer le fichier `/etc/apt/listchanges.conf` : |
| |
| ``` |
| frontend=pager |
| email_address=root |
| confirm=0 |
| save_seen=/var/lib/apt/listchanges.db |
| which=both |
| ``` |
| |
| `unattended-upgrades` utilise `apt-listchanges` pour formater la sortie des mises à jour et envoyer un email à l'adresse demandée. |