| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| technique:adminsys:secu:automatic_updates [2021/01/30 23:18] – ↷ Liens modifiés en raison d'un déplacement. qduchemi | technique:adminsys:secu:automatic_updates [2021/11/22 21:53] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. qduchemi |
|---|
| Les failles de sécurité sont un risque majeur pour l'infrastructure. Un exemple emblématique est la récente [vulnérabilité de sudo](https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt), présente depuis plus de 10 ans, qui permet à n'importe quel utilisateur non-privilégié d'obtenir des droits d'administration. | Les failles de sécurité sont un risque majeur pour l'infrastructure. Un exemple emblématique est la récente [vulnérabilité de sudo](https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt), présente depuis plus de 10 ans, qui permet à n'importe quel utilisateur non-privilégié d'obtenir des droits d'administration. |
| |
| <bootnote critical>Ce genre de failles est critique : dès qu'elle est rendue public, des robots commencent à tenter d'exploiter les vulnérabilités sur des plages d'IP et se servent des intrusions pour construire des réseaux de bots, miner des cryptomonnaies ou exfiltrer/chiffrer des données.</bootnote> | <bootnote critical>Ce genre de failles est critique : dès qu'elle est rendue publique, des robots commencent à tenter d'exploiter les vulnérabilités sur des plages d'IP et se servent des intrusions pour construire des réseaux de bots, miner des cryptomonnaies ou exfiltrer/chiffrer des données.</bootnote> |
| |
| Il est donc très désirable d'obtenir les mises à jour de sécurité le plus rapidement possible dès qu'un *patch* est disponible. | Il est donc très désirable d'obtenir les mises à jour de sécurité le plus rapidement possible dès qu'un *patch* est disponible. |
| ``` | ``` |
| Unattended-Upgrade::Package-Blacklist { | Unattended-Upgrade::Package-Blacklist { |
| "linux-"; | "linux-headers*"; |
| "grub-"; | "linux-image*"; |
| | "linux-generic*"; |
| | "linux-modules*"; |
| | "grub-*"; |
| }; | }; |
| ``` | ``` |
| ### Envoyer un mail lors des mises à jour | ### Envoyer un mail lors des mises à jour |
| |
| <bootnote>On suppose que les machines ont la [[technique:infrastructure:machines_virtuelles:mail|capacité d'envoyer des mails via le serveur mail de Picasoft]].</bootnote> | <bootnote>On suppose que les machines ont la [[technique:adminsys:tips:mail|capacité d'envoyer des mails via le serveur mail de Picasoft]].</bootnote> |
| |
| Éditer le fichier `/etc/apt/listchanges.conf` : | Éditer le fichier `/etc/apt/listchanges.conf` : |
| which=both | which=both |
| ``` | ``` |
| | |
| | `unattended-upgrades` utilise `apt-listchanges` pour formater la sortie des mises à jour et envoyer un email à l'adresse demandée. |