| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| technique:adminsys:secu:automatic_updates [2021/01/30 15:24] – qduchemi | technique:adminsys:secu:automatic_updates [2021/11/22 21:53] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. qduchemi |
|---|
| Les failles de sécurité sont un risque majeur pour l'infrastructure. Un exemple emblématique est la récente [vulnérabilité de sudo](https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt), présente depuis plus de 10 ans, qui permet à n'importe quel utilisateur non-privilégié d'obtenir des droits d'administration. | Les failles de sécurité sont un risque majeur pour l'infrastructure. Un exemple emblématique est la récente [vulnérabilité de sudo](https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt), présente depuis plus de 10 ans, qui permet à n'importe quel utilisateur non-privilégié d'obtenir des droits d'administration. |
| |
| <bootnote critical>Ce genre de failles est critique : dès qu'elle est rendue public, des robots commencent à tenter d'exploiter les vulnérabilités sur des plages d'IP et se servent des intrusions pour construire des réseaux de bots, miner des cryptomonnaies ou exfiltrer/chiffrer des données.</bootnote> | <bootnote critical>Ce genre de failles est critique : dès qu'elle est rendue publique, des robots commencent à tenter d'exploiter les vulnérabilités sur des plages d'IP et se servent des intrusions pour construire des réseaux de bots, miner des cryptomonnaies ou exfiltrer/chiffrer des données.</bootnote> |
| |
| Il est donc très désirable d'obtenir les mises à jour de sécurité le plus rapidement possible dès qu'un *patch* est disponible. | Il est donc très désirable d'obtenir les mises à jour de sécurité le plus rapidement possible dès qu'un *patch* est disponible. |
| ``` | ``` |
| Unattended-Upgrade::Package-Blacklist { | Unattended-Upgrade::Package-Blacklist { |
| "linux-"; | "linux-headers*"; |
| "grub-"; | "linux-image*"; |
| | "linux-generic*"; |
| | "linux-modules*"; |
| | "grub-*"; |
| }; | }; |
| ``` | ``` |
| |
| ``` | ``` |
| Unattended-Upgrade::Mail "updates@picasoft.net"; | Unattended-Upgrade::Mail "tech@picasoft.net"; |
| | Unattended-Upgrade::MailOnlyOnError "true"; |
| ``` | ``` |
| |
| Elle indique qu'un rapport de mise à jour sera envoyé à `updates@picasoft.net`. On configurera plus loin dans cette page le programme permettant d'envoyer de tels mails. :-D | Elle indique qu'un rapport de mise à jour sera envoyé à `tech@picasoft.net`, **uniquement en cas d'erreur**. On configurera plus loin dans cette page le programme permettant d'envoyer de tels mails. :-D |
| |
| S'assurer que le redémarrage automatique est **désactivé** : | S'assurer que le redémarrage automatique est **désactivé** : |
| ### Envoyer un mail lors des mises à jour | ### Envoyer un mail lors des mises à jour |
| |
| | <bootnote>On suppose que les machines ont la [[technique:adminsys:tips:mail|capacité d'envoyer des mails via le serveur mail de Picasoft]].</bootnote> |
| |
| | Éditer le fichier `/etc/apt/listchanges.conf` : |
| | |
| | ``` |
| | frontend=pager |
| | email_address=root |
| | confirm=0 |
| | save_seen=/var/lib/apt/listchanges.db |
| | which=both |
| | ``` |
| | |
| | `unattended-upgrades` utilise `apt-listchanges` pour formater la sortie des mises à jour et envoyer un email à l'adresse demandée. |