Como posso instalar apenas atualizações de segurança na linha de comando?

sudo apt-get upgradeinstala todas as atualizações, não apenas as atualizações de segurança. Sei que posso usar o Update Manager para selecionar apenas atualizações de segurança importantes, mas existe uma maneira de fazer isso na linha de comando?

As atualizações autônomas do pacote oferecem funcionalidade para instalar atualizações de segurança automaticamente.

Você pode usar isso, mas, em vez de configurar a parte automática, pode chamá-la manualmente:

sudo unattended-upgrade -d --dry-run
sudo unattended-upgrade -d

Se você deseja executá-lo silenciosamente:

sudo unattended-upgrade

NOTA: Quando você chama a atualização autônoma, deixa "s" no final.

Isso pressupõe que o pacote esteja instalado por padrão, o que provavelmente é. Caso contrário, faça:

sudo apt-get install unattended-upgrades

Veja também /usr/share/doc/unattended-upgrades/README.md.

Algumas dicas sobre como gerenciar atualizações

Isso se aplica ao Debian e Ubuntu, mas seguem instruções mais específicas para o Ubuntu.

• Mostrar apenas atualizações de segurança:

  apt-get -s dist-upgrade |grep "^Inst" |grep -i securi 
  

  ou

  sudo unattended-upgrade --dry-run -d
  

  ou

  /usr/lib/update-notifier/apt-check -p
  

• Mostrar todos os pacotes atualizáveis

  apt-get -s dist-upgrade | grep "^Inst"
  

• Instale apenas atualizações de segurança

  apt-get -s dist-upgrade | grep "^Inst" | 
      grep -i securi | awk -F " " {'print $2'} | 
      xargs apt-get install
  

Notas:

• Às vezes, o Ubuntu mostra atualizações de segurança como se fossem provenientes do repositório $ release-updates. É assim que me disseram, porque os desenvolvedores do Ubuntu enviam atualizações de segurança para o repositório $ release-updates, além de agilizar sua disponibilidade.

  Se for esse o caso, você pode fazer o seguinte para mostrar apenas as atualizações de segurança:

  sudo sh -c 'grep ^deb /etc/apt/sources.list | 
      grep security > /etc/apt/sources.security.only.list'
  

  e

  apt-get -s dist-upgrade -o Dir::Etc::SourceList=/etc/apt/sources.security.only.list -o Dir::Etc::SourceParts=/dev/null  | 
      grep "^Inst" | awk -F " " {'print $2'}
  

• Verifique quais serviços precisam ser reiniciados após as atualizações do pacote. Descubra quais pacotes você irá atualizar antecipadamente e agende suas reinicializações / reinicializações. O problema aqui é que, a menos que você reinicie um serviço, ele ainda pode estar usando uma versão mais antiga de uma biblioteca (motivo mais comum) carregada na memória antes de instalar o novo pacote que corrige uma vulnerabilidade de segurança ou o que for.

  checkrestart -v
  

  No entanto, lembre-se de que checkrestartpode listar processos que não devem necessariamente ser reiniciados. Por exemplo, o serviço PostgreSQL pode manter em sua memória a referência a um arquivo xlog já excluído, o que não é um motivo válido para reiniciar o serviço.

  Portanto, outra maneira mais confiável de verificar isso usando utilitários padrão é o seguinte pequeno script bash que eu descaradamente roubei de https://locallost.net/?p=233

  Ele verifica se os processos em execução em um sistema ainda estão usando bibliotecas excluídas em virtude de manter cópias daquelas na memória ativa.

  ps xh -o pid |
  while read PROCID; do
         grep 'so.* (deleted)$' /proc/$PROCID/maps 2> /dev/null
         if [ $? -eq 0 ]; then
                 CMDLINE=$(sed -e 's/\x00/ /g' < /proc/$PROCID/cmdline)
                 echo -e "\tPID $PROCID $CMDLINE\n"
         fi
  done
  

substitua /etc/apt/preferencespelo seguinte:

Package: *
Pin: release a=lucid-security
Pin-Priority: 500

Package: *
Pin: release o=Ubuntu
Pin-Priority: 50

agora um simples apt-get upgradeatualizará apenas todas as atualizações de segurança.

Por que (e como) isso funciona: O arquivo de preferências fixará todos os pacotes da distribuição Ubuntu na prioridade 50, o que os tornará menos desejáveis ​​do que os pacotes já instalados. Os arquivos originários do repositório de segurança recebem a prioridade padrão (500) para que sejam considerados para instalação. Isso significa que apenas os pacotes considerados mais desejáveis ​​que os atualmente instalados são atualizações de segurança. Mais informações sobre como fixar na página de manual apt_preferences .

Você pode promover temporariamente uma certa distribuição de atualizações com a --target-releaseopção que funciona com ( apt-gete aptitudepelo menos) que permite fixar determinadas liberações para que sejam elegíveis para atualização.

Se você deseja usar isso apenas para scripts e não torná-lo padrão para o sistema, você pode colocar as regras em outro local e usá-lo:

apt-get -o Dir::Etc::Preferences=/path/to/preferences_file upgrade

Isso fará com que o apt procure o arquivo de preferências de um local não padrão.

O arquivo de preferências fornecido como exemplo não se aplica a repositórios de terceiros, se você também deseja fixá-los, pode usar apt-cache policypara determinar facilmente as chaves necessárias para fixação.

O seguinte é confirmado no Ubuntu 14.04 LTS.

Use o unattended-upgradepacote.

Veja o arquivo /etc/apt/apt.conf.d/50unattended-upgrades. Deve haver uma seção na parte superior que é:

// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
//  "${distro_id}:${distro_codename}-updates";
//  "${distro_id}:${distro_codename}-proposed";
//  "${distro_id}:${distro_codename}-backports";
};

Observe como ele foi configurado para permitir apenas atualizações autônomas de pacotes de segurança, por padrão.

Modifique o arquivo /etc/apt/apt.conf.d/10periodicsemelhante a:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

Isso executará atualizações de segurança automáticas automáticas, uma vez por dia.

Agora, para executar manualmente: sudo unattended-upgrade.

Para testar como um dry-run, sem fazer nada: sudo unattended-upgrade --dry-run.

Fonte: https://help.ubuntu.com/14.04/serverguide/automatic-updates.html

Embora seja bastante feio, você pode desativar todos os repositórios além do repositório de segurança e, em seguida, fazer:

sudo apt-get update && sudo apt-get upgrade

Não testei, mas, em teoria, ele só encontraria atualizações no repositório de segurança e as aplicaria ...

• apt-get update: basta ler as entradas no repositório - de acordo com a lista existente. Necessário para verificar o que há de novo.
• apt-get upgrade: todas as atualizações para pacotes instalados sem módulos do kernel. Nenhuma atualização de lançamento.
• apt-get dist-upgrade: todas as atualizações para pacotes instalados também com módulos do kernel. Nenhuma atualização de lançamento.
• apt-getcom parâmetro -s: somente teste, nenhuma alteração realizada.

No Debians, eu uso este comando para fazer apenas atualizações de segurança:

apt-get install -y --only-upgrade $( apt-get --just-print upgrade | awk 'tolower($4) ~ /.*security.*/ || tolower($5) ~ /.*security.*/ {print $2}' | sort | uniq )

Não consigo encontrar uma opção no apt-get ou no aptitude, no entanto, alguém teve a mesma pergunta no SuperUser. A única resposta é:

Check and adjust /etc/apt/apt.conf.d/50unattended-upgrade. 
Did you replace 'karmic' with the code name of your Ubuntu?

Nenhuma resposta sobre se isso funcionou no entanto.

Aqui está um script que consegue isso de algumas maneiras diferentes:

#!/usr/bin/env bash
set -e

# List upgradable packages
apt-get update
apt list --upgradable 2>/dev/null
# List security upgrades
test "$(apt-get upgrade -s -y)" && (apt-get upgrade -s -y)
# List upgradable apt packages then upgrade
apt-get update && apt-get upgrade -y  -V | grep '=>' | awk '{print$1}' && test "$(apt-get upgrade -y)"