UbuntuServerでファイルサーバを組んで動かしているミニPCですが、アップデートをずっと手動でやっていました。
正直、放置してもすぐ困るわけではないのですが、セキュリティ的にはあまり良くないですよね。
そこで今回は、Ubuntu系で使える自動アップデート機能「unattended-upgrades」を導入してみました。
そもそも手動アップグレードの何が問題か
これまでは
sudo apt update
sudo apt upgradeを思い出したときに実行する、という運用でした。
ただこの方法だと、
- セキュリティアップデートを忘れる
- サーバ用途なのに数週間放置する
- 再起動が必要な更新に気づかない
という状況になりがちです。
ミニPCは常時稼働のファイルサーバなので、「気が向いたら更新」では少し不安がありました。
unattended-upgradesとは
unattended-upgradesは、Ubuntu系ディストリビューションで利用できる自動更新ツールです。
主に以下の用途で使われます。
- セキュリティアップデートの自動適用
- 指定したリポジトリの自動更新
- 定期実行による放置防止
基本的には「安全寄り」の更新だけを自動で入れる設定にできます。
導入はかなり簡単
インストール自体はシンプルです。
sudo apt install unattended-upgradesインストール後に
sudo dpkg-reconfigure unattended-upgradesを実行すると、自動更新を有効にするか聞かれます。
ここで「Yes」を選ぶだけで、セキュリティアップデートの自動適用が有効になります。
思っていたよりあっさりしています。
実際どう動くのか
デフォルト設定では、主にセキュリティ関連のアップデートが自動適用されます。
通常の大規模アップグレード(例:ディストリビューションのメジャーアップグレード)は勝手には実行されません。
ログは以下に出力されます。
/var/log/unattended-upgrades/ここを見ることで、何がいつ更新されたか確認できます。
再起動はどうなる?
カーネル更新など、再起動が必要なケースもあります。
デフォルトでは自動再起動は行われません。
必要であれば、設定ファイルで自動再起動を有効にできますが、ファイルサーバ用途だと手動確認の方が安心かもしれません。
私は今のところ、自動更新のみ有効にして再起動は手動にしています。
サーバ用途なら入れておいた方がいい
常時稼働マシンは、
- 普段触らない
- 表に出ていないので油断しやすい
- でもネットワークには常時接続している
という状態になりがちです。
だからこそ、最低限のセキュリティアップデートは自動化しておいた方が安心です。
完全放置はさすがに怖いですが、「忘れ防止」としてはかなり優秀だと感じました。
まとめ
unattended-upgradesは、
- 導入が簡単
- セキュリティ更新を自動化できる
- サーバ用途と相性が良い
というツールです。
BMAX B2をファイルサーバとして運用しているようなケースでは、入れておいて損はないと思います。
今後はログ確認の習慣と、定期的な手動アップグレードのバランスを取りながら運用していく予定です。
-120x68.jpg)
コメント