Feb 032016
 
Artículo Administración de Servidores

En un sistema accesible por internet, es importante prestar especial atención a la seguridad del mismo. Esto incluye mantener permanentemente actualizados los paquetes software instalados en el sistema, aplicando las últimas actualizaciones y parches de seguridad, tan pronto como están disponibles.

En este artículo se explica la manera de instalar y configurar en un servidor Debian el paquete cron-apt, que puede ser configurado para automatizar completamente esta tarea.

Instalación manual de actualizaciones

En un sistema Debian, la administración y mantenimiento de los paquetes instalados se realiza habitualmente con el comando apt-get de la utilidad APT (Advanced Packaging Tool).

En primer lugar, debemos actualizar la copia local de la lista de paquetes disponibles en las distintas fuentes configuradas en “/etc/apt/sources.list”. Para ello, ejecutamos el comando “apt-get update”:

A continuación, con el comando “apt-get upgrade” realizamos la actualización de todos los paquetes para los cuales existe una versión más reciente. Nos puede interesar utilizar primero la opción “-d” (“–download-only”), para descargar las actualizaciones, sin realizar la instalación de las mismas:

En este ejemplo, hay cuatro paquetes en el sistema que pueden ser actualizados. Por otra parte, vemos que apt-get solicita una confirmación antes de realizar la actualización (o descarga) de los paquetes. Esta solicitud de confirmación puede ser evitada añadiendo al comando la opción “-y”.

después de revisar la lista de paquetes a actualizar, procedemos a realizar la instalación de los mismos, utilizando el mismo comando sin la opción “-d”:

Instalación de cron-apt

El paquete cron-apt automatiza la actualización de paquetes, ejecutando periódicamente los distintos comandos “apt-get” necesarios para descargar e instalar los paquetes.

cron-apt se instala sencillamente con el comando apt-get:

La instalación crea un fichero /etc/cron.d/cron-apt, con la configuración adecuada para ejecutar la utilidad cron-apt diariamente, a las 4:00 a.m.:

Como vemos, también hay dos entradas para ejecutar cron-apt con una configuración alternativa “/etc/cron-apt/config2”, cada hora o cada cinco minutos, aunque inicialemente están comentadas.

La configuración de cron-apt se encuentra en el fichero “/etc/cron-apt/config”, que en la instalación por defecto está vacío. Habitualmente, añadiremos a este fichero las directrices para indicar el tipo de salida que queremos que se genere, y la dirección de correo del destinatario:

También se crea un directorio “/etc/cron-apt/config.d”, que inicialmente está vacío. Por otra parte, hay un directorio “/etc/cron-apt/action.d”, con dos ficheros “0-update” y “3-download” estos ficheros contienen las opciones que serán pasadas al comando “apt-get” en las llamadas realizadas por “cron-apt”:

/etc/cron-apt/action.d/0-update

/etc/cron-apt/action.d/3-download

Con esta configuración, cron-apt realizará una actualización de la lista local de paquetes, y descargará aquellos paquetes para lo cuales esté disponible una versión más reciente, pero no realizará la instalación de los mismos. Por último, enviará un email con la lista de paquetes preparados para su actualización.

Ejemplo de email enviado por cron-apt:

Configuración de cron-apt para automatizar la instalación de actualizaciones de seguridad

En general, es buena idea continuar realizando las instalaciones de paquetes manualmente. De este modo, el administrador puede responder a cualquier solicitud de información o mensaje de error que pudiera producirse durante la instalación.

Pero también es conveniente realizar las actualizaciones de seguridad tan pronto como estén disponibles. El paquete cron-apt permite realizar una instalación automatizada para este tipo de actualizaciones.

Para ello, crearemos un fichero “/etc/cron-apt/security.sources.list”, y copiaremos a este fichero todas las entradas ‘security’ que aparezcan en el fichero de configuración /etc/apt/sources.list:

Por último, crearemos un fichero /etc/cron-apt/action.d/2-upgrade con el siguiente contenido:

Y eso es todo!

Referencias

 Publicado por en 9:28 am

 Deja un comentario

(requerido)

(requerido)