Linux如何设置系统自动更新策略？_Linuxyum和apt自动升级配置

linux系统设置自动更新策略需根据环境权衡利弊，生产环境应谨慎对待。1. 对于debian/ubuntu系统，使用 unattended-upgrades 包实现自动更新，配置 /etc/apt/apt.conf.d/50unattended-upgrades 文件，指定允许更新的源、黑名单包、是否移除无用依赖、是否自动重启及时间；2. 启用自动执行通过 dpkg-reconfigure 命令生成周期任务配置文件；3. 对于rhel/centos/fedora系统，使用 dnf-automatic 或 yum-cron，配置 automatic.conf 文件，设置更新类型、通知方式、是否自动重启；4. 自动更新适合非关键系统，提升安全性并降低维护成本，但生产环境存在破坏性更新、不可预测停机、回滚困难等风险；5. 为确保可靠性，建议限制更新范围、设置合理重启策略、建立通知机制、定期检查日志、实施快照与备份、测试环境先行；6. 其他更新策略包括计划性手动更新、补丁管理工具、容器化部署、内核热补丁及安全审计，选择策略应基于业务需求与风险承受能力。

Linux系统设置自动更新策略，主要是通过配置包管理器（如Debian/Ubuntu的APT或RHEL/CentOS的YUM/DNF）的自动化工具来实现。这通常是为了及时获取安全补丁和错误修复，但对于生产环境，我个人觉得这事儿吧，得特别小心，权衡利弊。

解决方案

对于Debian/Ubuntu系统 (使用APT)

核心是使用

unattended-upgrades

1. 安装

   unattended-upgrades

   登录后复制
   ：

   sudo apt update
   sudo apt install unattended-upgrades

   登录后复制

2. 配置自动升级选项： 编辑

   /etc/apt/apt.conf.d/50unattended-upgrades

   登录后复制
   文件。这个文件里有很多注释，很详细。你需要关注几个关键点：
   

   • Unattended-Upgrade::AllowedOrigins

     登录后复制
     : 确保它包含了你想要自动更新的源，通常是安全更新（

     ${distro_id}:${distro_codename}-security

     登录后复制
     ）和常规更新（

     ${distro_id}:${distro_codename}-updates

     登录后复制
     ）。我通常会把

     updates

     登录后复制
     也打开，除非有特殊需求。

   • Unattended-Upgrade::Package-Blacklist

     登录后复制
     : 如果有你绝对不想自动更新的包，可以在这里列出来。

   • Unattended-Upgrade::Remove-Unused-Dependencies

     登录后复制
     : 设置为

     "true"

     登录后复制
     可以自动移除不再需要的依赖包，保持系统整洁。

   • Unattended-Upgrade::Automatic-Reboot

     登录后复制
     : 如果内核更新了，系统可能需要重启。设置为

     "true"

     登录后复制
     会在必要时自动重启。

     Unattended-Upgrade::Automatic-Reboot-Time

     登录后复制
     可以指定重启时间，比如

     "03:00"

     登录后复制
     。我通常会设个半夜时间，减少影响。

   一个简化的配置示例（你可能需要根据实际情况调整）：

   // Automatically upgrade packages from these (origin:archive) pairs
   Unattended-Upgrade::AllowedOrigins {
           "${distro_id}:${distro_codename}";
           "${distro_id}:${distro_codename}-security";
           "${distro_id}:${distro_codename}-updates";
           // "${distro_id}:${distro_codename}-proposed";
           // "${distro_id}:${distro_codename}-backports";
   };
   
   // Do automatic removal of unused dependencies
   Unattended-Upgrade::Remove-Unused-Dependencies "true";
   
   // Automatically reboot system if a reboot is required
   Unattended-Upgrade::Automatic-Reboot "true";
   Unattended-Upgrade::Automatic-Reboot-Time "03:00";

   登录后复制

3. 启用自动执行： 运行以下命令，它会生成或修改

   /etc/apt/apt.conf.d/20auto-upgrades

   登录后复制
   文件，告诉APT每天执行

   unattended-upgrades

   登录后复制
   。

   sudo dpkg-reconfigure -plow unattended-upgrades

   登录后复制

   它会问你是否自动下载和安装更新，选择“是”。这会在

   /etc/apt/apt.conf.d/20auto-upgrades

   登录后复制
   中写入类似：

   APT::Periodic::Update-Package-Lists "1";
   APT::Periodic::Download-Upgradeable-Packages "1";
   APT::Periodic::AutocleanInterval "1";
   APT::Periodic::Unattended-Upgrade "1";

   登录后复制

   这些数字代表每天执行一次。

对于RHEL/CentOS/Fedora系统 (使用YUM/DNF)

核心是使用

dnf-automatic

yum-cron

1. 安装

   dnf-automatic

   登录后复制
   ：

   sudo dnf install dnf-automatic

   登录后复制

   或者对于旧版CentOS/RHEL 7及更早版本：

   sudo yum install yum-cron

   登录后复制

2. 配置自动升级选项： 编辑

   /etc/dnf/automatic.conf

   登录后复制
   文件（或

   /etc/yum/yum-cron.conf

   登录后复制
   ）。

   • apply_updates

     登录后复制
     : 设置为

     yes

     登录后复制
     来自动应用下载的更新。

   • download_updates

     登录后复制
     : 设置为

     yes

     登录后复制
     来自动下载更新。

   • upgrade_type

     登录后复制
     : 可以是

     default

     登录后复制
     （所有更新）或

     security

     登录后复制
     （只更新安全补丁）。我个人建议生产环境先从

     security

     登录后复制
     开始。

   • emit_via

     登录后复制
     : 设置通知方式，比如

     email

     登录后复制
     。

   • email_to

     登录后复制
     : 接收通知的邮箱地址。

   • reboot

     登录后复制
     : 如果内核更新需要重启，设置为

     yes

     登录后复制
     会自动重启。

   一个

   dnf-automatic

   登录后复制
   的配置示例：

   [commands]
   apply_updates = yes
   download_updates = yes
   upgrade_type = default # 或者 security
   
   [emitters]
   emit_via = motd, email # 可以是 motd, email, stdio, json
   email_to = your_email@example.com
   
   [base]
   # filter_rpms = kernel* # 示例：不自动更新内核
   # debuglevel = 1
   
   [automatic]
   reboot = yes # 自动重启

   登录后复制

3. 启用并启动服务：

   dnf-automatic

   登录后复制
   通常通过

   systemd

   登录后复制
   定时器运行。

   sudo systemctl enable --now dnf-automatic.timer

   登录后复制

   对于

   yum-cron

   登录后复制
   ：

   sudo systemctl enable --now yum-cron.service

   登录后复制

自动更新真的好吗？何时应该慎重考虑？

说实话，自动更新这东西，在桌面系统或者一些非核心的测试服务器上，我个人觉得是挺好的，省心省力，还能及时堵住安全漏洞。但一旦涉及到生产环境，特别是那些对稳定性、可用性要求极高的业务系统，就得非常非常慎重了。

BetterYeah AI

基于企业知识库构建、训练AI Agent的智能体应用开发平台，赋能客服、营销、销售场景 -BetterYeah

110

查看详情

它的优点显而易见：

• 安全性提升： 及时打上最新的安全补丁，能有效抵御已知漏洞的攻击。
• 维护成本降低： 不需要人工频繁登录服务器执行更新操作。
• 系统健康： 修复各种bug，提升系统整体性能和稳定性（理论上）。

然而，它的缺点也同样致命：

• 潜在的破坏性： 新的软件包版本可能会引入新的bug，或者与现有应用产生依赖冲突，导致服务中断。我见过太多因为自动更新导致应用崩溃的案例了。
• 不可预测的停机： 内核更新通常需要重启系统才能生效。如果设置了自动重启，那半夜突然的服务中断可能会让你措手不及。
• 回滚困难： 如果更新后出现问题，回滚到之前的状态可能会非常复杂，特别是对于没有快照或良好备份策略的系统。
• 缺乏控制： 你无法预先知道这次更新具体包含了哪些内容，可能更新了你不希望更新的组件。

何时应该慎重考虑甚至避免自动更新？

• 生产服务器： 任何承载关键业务、需要高可用性的生产系统，自动更新都是高风险操作。
• 有复杂依赖的应用： 如果你的应用对特定库或组件的版本有严格要求，自动更新可能轻易打破这种平衡。
• 自定义编译或非标准部署： 那些经过大量定制或从源码编译的系统，自动更新可能会覆盖你的定制，或者导致编译环境不兼容。
• 缺乏监控和告警的系统： 如果更新失败了你都不知道，那风险就更大了。

我的建议是，对于生产环境，宁愿选择手动更新，或者至少采用“分批次、有计划、可回滚”的更新策略。

如何确保自动更新的可靠性与安全性？

即使你决定在某些场景下启用自动更新，也必须采取措施来降低风险，提升其可靠性和安全性。这不光是配置那么简单，更是一种运维哲学。

1. 限制更新范围：

   • 优先只开启“安全更新”。很多时候，系统最需要的是安全补丁，而不是所有软件包的最新版本。在

     unattended-upgrades

     登录后复制
     中配置

     security

     登录后复制
     源，在

     dnf-automatic

     登录后复制
     中设置

     upgrade_type = security

     登录后复制
     。
   • 对于关键服务或易受影响的包，考虑将其列入黑名单，手动管理。比如，我通常不会让数据库服务器自动更新其数据库软件。

2. 设置合理的重启策略：

   • 如果允许自动重启，务必设置一个“维护窗口”时间，比如深夜业务量最低的时段。
   • 在重启前，确保有适当的通知机制，让相关人员知道系统即将重启。
   • 更安全的做法是，只自动下载和安装更新，但由人工触发重启。

3. 建立有效的通知机制：

   • 配置邮件通知，无论更新成功、失败还是有警告，都应该发送邮件到管理员邮箱。这能让你第一时间知道发生了什么。
   • 如果可能，集成到你的监控系统，当更新出现异常时能触发告警。

4. 定期检查日志：

   • unattended-upgrades

     登录后复制
     的日志通常在

     /var/log/unattended-upgrades/

     登录后复制
     目录下。

   • dnf-automatic

     登录后复制
     或

     yum-cron

     登录后复制
     的日志通常在

     /var/log/dnf.log

     登录后复制
     或

     /var/log/yum.log

     登录后复制
     ，或者通过

     journalctl -u dnf-automatic.timer

     登录后复制
     查看。
   • 定期查看这些日志，确认更新是否顺利，有没有错误或警告。这是一种主动发现问题的手段。

5. 实施快照和备份策略：

   • 在虚拟机环境下，在启用自动更新前，最好为VM创建一个快照。如果更新出问题，可以快速回滚。
   • 对于物理机或无法快照的环境，确保有最新的系统备份和数据备份。这是最后的防线。

6. 灰度发布/测试环境先行：

   • 理想情况下，你有一个与生产环境高度相似的测试环境。所有自动更新的配置和流程，都应该先在测试环境跑一遍，确认没有问题后再推广到生产。
   • 对于大型集群，可以考虑“金丝雀部署”或“分批次更新”，先更新一小部分机器，观察几天没问题后再扩大范围。

这些措施能大大降低自动更新带来的风险，但完全消除风险是不可能的。所以，理解并接受这种权衡很重要。

除了自动更新，还有哪些值得关注的更新策略？

自动更新固然方便，但并非万能药。在实际的运维工作中，特别是面对复杂的IT环境，我们往往会结合多种策略来确保系统的更新与安全。

1. 计划性手动更新（Scheduled Manual Updates）： 这是最常见也最稳妥的方式。

   • 定期维护窗口： 设定每周、每月或每季度固定的维护窗口，在此期间执行系统更新。这让团队有时间准备，并能预留回滚时间。
   • 严格的审批流程： 在更新前，明确更新内容、可能影响的服务，并获得相关负责人审批。
   • 预测试： 在非生产环境（开发、测试、预发布环境）先进行更新测试，验证兼容性和稳定性。
   • 分阶段部署： 对于大型集群，可以采取分批次更新的策略，比如先更新20%的机器，观察一段时间无异常后再更新剩余的。

2. 补丁管理工具（Patch Management Tools）： 对于管理大量服务器的场景，手动登录每台机器更新显然不现实。这时，专业的补丁管理工具就显得尤为重要。

   • 配置管理工具： Ansible、Puppet、Chef、SaltStack 等自动化工具，可以编写Playbook或Manifest来统一管理服务器的更新。你可以精确控制哪些包更新、何时更新，甚至在更新后执行自定义的验证脚本。这提供了极大的灵活性和可重复性。
   • 专用补丁管理平台： 某些企业级Linux发行版（如Red Hat Satellite）或第三方工具提供更专业的补丁管理功能，包括补丁分发、合规性扫描、报告等。

3. 容器化与不可变基础设施（Containerization & Immutable Infrastructure）： 这是一种更现代的更新理念。

   • 容器（Docker、Kubernetes）： 应用运行在容器中，操作系统更新与应用解耦。当需要更新操作系统时，可以构建一个新的基础镜像，然后重新部署应用容器，而不是在运行中的容器或宿主机上打补丁。
   • 不可变基础设施： 服务器一旦部署完成就不再修改。如果需要更新，不是在现有服务器上打补丁，而是构建一个新的、已打好补丁的镜像，然后用新镜像替换旧服务器。这种方式能最大程度地保证环境的一致性和可预测性。

4. 内核热补丁（Live Kernel Patching）： 对于那些极度追求高可用性、无法承受哪怕几秒钟停机时间的系统（例如，金融交易系统、电信核心网），内核热补丁技术（如Red Hat Kpatch、SUSE Live Patching、Ubuntu Livepatch）允许在不重启系统的情况下应用内核安全补丁。这虽然很酷，但通常只针对关键的安全漏洞，且有其局限性。

5. 安全审计与漏洞扫描： 更新策略是防御的一部分，但主动的安全审计和漏洞扫描同样重要。定期使用Nessus、OpenVAS等工具扫描系统，发现未知的漏洞或未打的补丁，可以作为更新策略的补充和验证。

最终，选择哪种更新策略，或者多种策略的组合，取决于你的业务需求、系统规模、团队资源以及对风险的承受能力。没有放之四海而皆准的“最佳”方案，只有最适合你当前环境的。

以上就是Linux如何设置系统自动更新策略？_Linuxyum和apt自动升级配置的详细内容，更多请关注php中文网其它相关文章！