Manter os sistemas atualizados é uma das práticas mais importantes dentro da administração de servidores, principalmente em ambientes de produção e corporativos. As atualizações de segurança corrigem vulnerabilidades conhecidas que podem ser exploradas por invasores para comprometer a integridade, disponibilidade ou confidencialidade dos sistemas.
No caso do Ubuntu, um dos sistemas operacionais mais populares no mundo Linux, é possível automatizar a aplicação de atualizações de segurança com poucos passos. Neste artigo, você vai aprender como ativar as atualizações automáticas de segurança no Ubuntu de forma segura, eficaz e seguindo boas práticas recomendadas pela própria Canonical, mantenedora oficial da distribuição.
Por que automatizar as atualizações de segurança no Ubuntu?
As atualizações automáticas garantem que seu sistema se mantenha protegido contra ameaças emergentes sem a necessidade de intervenção manual constante. Isso é especialmente útil em servidores, onde a segurança é crítica e o tempo para resposta pode ser limitado.
A automação das atualizações é recomendada para ambientes que priorizam estabilidade e segurança contínua, e pode ser usada em conjunto com ferramentas de monitoramento e gerenciamento de mudanças para garantir rastreabilidade e controle.
Pré-requisitos
As instruções a seguir foram testadas e são válidas para versões modernas do Ubuntu, como:
- Ubuntu 20.04 LTS (Focal Fossa)
- Ubuntu 22.04 LTS (Jammy Jellyfish)
- Ubuntu 18.04 LTS (Bionic Beaver)
É necessário ter privilégios de root ou utilizar o comando sudo.
Etapa 1: Verifique se o pacote unattended-upgrades está instalado
O Ubuntu fornece um pacote chamado unattended-upgrades, que é responsável por aplicar atualizações automáticas, especialmente de segurança. Para verificar se ele está instalado e, se necessário, instalá-lo, utilize o comando:
sudo apt update
sudo apt install unattended-upgradesEste pacote, por padrão, já vem instalado nas versões LTS do Ubuntu, mas é sempre bom verificar se ele está presente.
Etapa 2: Configurar o comportamento do unattended-upgrades
Após garantir que o pacote está instalado, o próximo passo é configurar os tipos de atualizações que o sistema aplicará automaticamente.
Edite o arquivo de configuração principal:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
Procure pelas linhas que se parecem com esta:
"${distro_id}:${distro_codename}-security";Certifique-se de que ela não está comentada (sem // no início). Essa linha garante que somente atualizações de segurança sejam aplicadas automaticamente. Também é possível incluir outras fontes, como atualizações recomendadas (-updates) ou backports, dependendo da política da sua organização.
Exemplo de configuração mínima segura:
Unattended-Upgrade::Origins-Pattern {
"o=Ubuntu,a=jammy-security";
};Você também pode configurar o comportamento de notificações, remoção automática de pacotes obsoletos, e outras opções úteis.
Etapa 3: Ativar o serviço de atualizações automáticas
Depois de configurar o unattended-upgrades, você precisa habilitar o mecanismo que executa essas atualizações periodicamente.
Edite (ou crie) o arquivo /etc/apt/apt.conf.d/20auto-upgrades com o seguinte conteúdo:
sudo vi /etc/apt/apt.conf.d/20auto-upgradesE insira:
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";Essas diretivas informam ao sistema que ele deve:
- Atualizar a lista de pacotes uma vez por dia.
- Executar a atualização automática uma vez por dia.
Você pode ajustar o número entre aspas para definir a periodicidade. Por exemplo, "7" faria isso uma vez por semana.
Etapa 4: Testar a funcionalidade
Para garantir que tudo está funcionando corretamente, você pode executar manualmente o processo com o comando:
sudo unattended-upgrade -dA opção -d ativa o modo de depuração (debug), exibindo informações detalhadas sobre o que seria feito, sem aplicar mudanças permanentes. É útil para verificar se o sistema está interpretando corretamente as configurações.
Etapa 5: Verificar os logs
Os registros de atualizações automáticas ficam disponíveis em:
/var/log/unattended-upgrades/unattended-upgrades.logEste arquivo contém um histórico das atualizações aplicadas automaticamente, o que ajuda no monitoramento e auditoria.
Conclusão
Ativar atualizações automáticas de segurança no Ubuntu é uma forma eficiente de manter seus servidores protegidos sem depender de ações manuais recorrentes. A Canonical fornece suporte completo para essa funcionalidade, e ela pode ser customizada conforme as necessidades do seu ambiente.
Mesmo com a automação, é importante ter um sistema de monitoramento que alerte sobre mudanças críticas e atualizações aplicadas. Além disso, mantenha backups atualizados antes de qualquer atualização de sistema — por mais segura que seja, é sempre uma boa prática.
Referências
- Canonical Ubuntu Docs – Automatic Updates
- Ubuntu Manpages – unattended-upgrades(8)
- CIS Benchmark for Ubuntu Linux 20.04 LTS: Center for Internet Security
- NIST Guide to Enterprise Patch Management – SP 800-40 Revision 3
Se você também utiliza Oracle Linux, RHEL ou CentOS, confira nosso outro artigo onde mostramos como ativar atualizações automáticas nesses sistemas usando yum-cron ou dnf-automatic.
Caso tenha alguma dúvida a respeito deste tópico sinta-se à vontade para entrar em contato