Raspberry Pi OS: Sicherheitsaktualisierungen automatisch herunterladen und installieren

Das Aktualisieren eines Systems ist eine wichtige Maßnahme, um die Sicherheit des Systems zu erhalten. Veraltete Software enthalten oft Fehler und Sicherheitslücken, die ein Angreifer für seine Zwecke missbrauchen. Beispielsweise um in ein System einzudringen.
Standardmäßig müssen Aktualisierungen manuell ausgeführt werde. Alternativ besteht die Möglichkeit das ein System automatisch die Sicherheitsaktualisierungen herunterlädt und installiert. Unattended-Upgrades ist eine Software, die automatisch und unbeaufsichtigt Sicherheitsaktualisierungen herunterladen und installieren kann.

Automatisch Sicherheitsaktualisierungen mit Unattended-Upgrades einrichten

Unattended-Upgrades kann automatisch und unbeaufsichtigt Sicherheitsaktualisierungen herunterladen und installieren. Es werden dabei die Pakete der voreingestellten APT-Quelle installiert.

Zuerst wird das Paket installiert:

sudo apt-get install unattended-upgrades

Dann muss man noch eine winzige Konfiguration vornehmen. Und zwar das Aktivieren der automatischen Sicherheitsaktualisierung. Dafür gibt es eine Paketkonfiguration:

sudo dpkg-reconfigure -plow unattended-upgrades

Hierbei öffnet sich eine grafische Oberfläche, in der man mit "Ja" die automatische Sicherheitsaktualisierung aktiviert und mit "Nein" deaktiviert.

Die Paketkonfiguration erstellt die Datei "20auto-upgrades" im Verzeichnis "/etc/apt/apt.conf.d/".

cat /etc/apt/apt.conf.d/20auto-upgrades

In der Datei sind beispielhaft zwei Zeilen enthalten:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

Die erste Zeile steht dafür, wie oft "apt-get update" automatisch ausgeführt werden soll. Die "1" steht in dem Fall für "jeden Tag", was für einen Automatismus in Ordnung ist. Eine "0" würde diesen Automatismus abschalten.
Die zweite Zeile steht dafür, wie oft ein "upgrade" automatisch vorgenommen werden soll. Die "1" steht für "jeden Tag", was in Ordnung ist. Eine "0" würde den Automatismus abschalten.

Was genau aktualisiert werden soll, kann man in folgender Konfigurationsdatei festlegen:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

In der Standard-Einstellung werden nur Sicherheitsupdates vorgenommen. Das sollte für den Anfang ausreichen. Wenn das gut funktioniert, kann man die Updates auch ausweiten. Aber dann muss man sich schon etwas mehr in die Konfiguration einarbeiten und sollte wissen, was man da tut.

Dann wollen wir testen, ob das automatische Herunterladen und Installieren auch wirklich funktioniert. Dazu führen wir folgendes Kommando aus:

sudo unattended-upgrades --dry-run

In der Regel wird die Kommandozeile nach ein paar Minuten zurückkehren. Es dauert so lange, wie ein manuell ausgeführtes "apt-get update" und "apt-get upgrade" auch dauert.

Dann schauen wir in der entsprechenden Log-Datei, was genau passiert ist:

tail /var/log/unattended-upgrades/unattended-upgrades.log

Wenn man die automatische Sicherheitsaktualisierungen abschalten will, dann ruft man die Paketkonfiguration auf:

sudo dpkg-reconfigure -plow unattended-upgrades

Dort wählt man einfach "Nein" aus. Damit ist der Automatismus abgeschaltet. Wenn man ihn komplett entfernen möchte, muss man das Paket "unattended-upgrades" deinstallieren.

Hinweis zur automatischen Aktualisierung

Wenn das Risiko, dass ein stabiles System über eine automatische Aktualisierung zu beschädigen, geringer ist als das Risiko, das von einer Sicherheitslücken ausgeht, dann kann man eine automatische Aktualisierung in Erwägung ziehen. In dem Fall würde die automatische Aktualisierung die Sicherheitslücke schließen und der eventuell auftretende Schaden durch einen Angreifer verhindern.