如何设置仅获取安全更新的 apt 镜像？

我维护着几十台运行 Lucid 的服务器。设置本地镜像可能是一个好主意，但我还有一个独特的需求。

(ec2 实例) 服务器均已配置为获取安全更新仅有的。这正是我想要的。问题是，当我创建新的服务器/ec2 实例并下载包时，这些包完全是最新的，与集群的其余部分不同步。我可以使用 Chef 固定明确的包版本，但随后小更新将使我们固定的任何东西都不可用。

所以我想做的是这样的......我想要一个可以镜像 Lucid 存储库的 apt 镜像，但是仅有的获取安全更新，而不是常规更新。然后，通过将所有服务器指向该镜像，我可以让所有服务器都运行相同的版本，同时还可以避免不必要的更新。

使用 apt-mirror 设置镜像本身似乎很简单，但我缺少的是如何确保镜像只提供安全性。如何设置仅获取和传播安全更新的 apt 镜像？我觉得我遗漏了一些显而易见的东西。