我希望我的服务器能够unattended-upgrades
定期运行、保持我的服务器自动更新并仅安装安全更新。
但我不想更新几个包的主版本。
例如:
我希望我的服务器运行 PHP 5.4,我可以接受如下的小更新:
- 5.4.30 至 5.4.37 或 5.4.xx 至 5.4.yy
但我不想更改主要版本更新,例如:
- 5.4.48 至 5.5.1 或 5.xa 至 5.ya
这能用吗unattended-upgrades
?
目前我所做的是排除 PHP5-* 被 unattended-upgrades 自动更新。有没有更好的方法可以做到这一点?
或者 Ubuntu 安全更新是否有一个标准,比如他们不会升级应用程序的主版本,例如从 5.4.48 升级到 5.5.1 或从 5.xa 升级到 5.ya 等
答案1
我找到了这个在 Ubuntu 论坛上发帖有点帮助。认为值得分享:
您的系统不够智能,无法知道某个更新是否包含新功能、错误修复或安全补丁。它只知道软件的存储库。幸运的是,您可以根据存储库判断(并进行筛选)。
如果上游项目发布了 CVE 的安全补丁,Ubuntu 安全团队会将其应用于当前版本,并将其放入存储
*-security
库。
*-security
不包括更新。仅 CVE 补丁。上游版本号不变,Debian 或 Ubuntu 版本号会改变:Foo 1.2.3-1ubuntu2 变成 Foo 1.2.3-1ubuntu3您可以轻松
*-security
在/etc/apt/apt.conf.d/50unattended-upgrades
或在中启用 repos 的自动更新Ubuntu 的软件和更新控制面板。另外:如果您启用
*-updates
存储库,那么您将获得那些您不介意的小改进。但系统无法确定更新是否超出您的承受范围...这不是通灵的...所以也许您应该禁用该存储库。最后:当一个著名的漏洞被发现时,一些用户会感到困惑,而上游项目似乎建议升级到最新版本来修复它。请关注 security.ubuntu.com 上的 CVE 编号,而不是听信炒作。