Ubuntu如何更新系统更安全

Ubuntu 安全更新的最佳实践

一 基础安全更新流程

• 桌面端：打开软件和更新（命令行运行：software-properties-gtk），在更新页保持“自动检查更新”开启，勾选“安装安全更新”。这样可在后台自动获取并安装安全补丁。
• 服务器/终端：先更新索引，再执行升级，最后视提示重启相关服务或系统。
  命令示例：
  sudo apt update
  sudo apt list --upgradable
  sudo apt upgrade
  sudo reboot
  说明：apt update 仅刷新可用软件包列表；apt upgrade 执行升级；如有内核或关键组件更新，建议重启以生效。

二 启用无人值守自动安全更新

• 安装组件：
  sudo apt update
  sudo apt install unattended-upgrades update-notifier-common
• 配置更新源（仅安全仓库）：编辑 /etc/apt/apt.conf.d/50unattended-upgrades，确保包含：
  Unattended-Upgrade::Allowed-Origins {
  “${ distro_id} :${ distro_codename} -security”;
  // 如使用扩展安全维护（ESM），可按需添加：
  // “${ distro_id} ESM:${ distro_codename} ”;
  } ;
• 启用自动更新调度：编辑 /etc/apt/apt.conf.d/20auto-upgrades，写入：
  APT::Periodic::Update-Package-Lists “1”;
  APT::Periodic::Download-Upgradeable-Packages “1”;
  APT::Periodic::AutocleanInterval “7”;
  APT::Periodic::Unattended-Upgrade “1”;
• 可选加固与通知：在 50unattended-upgrades 中可开启
  Unattended-Upgrade::Remove-Unused-Dependencies “true”;
  Unattended-Upgrade::Automatic-Reboot “true”;
  Unattended-Upgrade::Automatic-Reboot-Time “03:00”;
  Unattended-Upgrade::Mail “you@example.com”;
  桌面端也可在“软件和更新 → 更新”中开启“安装安全更新”。

三 更新后的关键检查与维护

• 查看自动更新日志：
  cat /var/log/unattended-upgrades/unattended-upgrades.log
• 清理无用依赖与旧包：
  sudo apt autoremove
• 验证可升级与变更：
  sudo apt update
  sudo apt list --upgradable
• 服务与内核更新：内核或 SSH 等关键服务更新后，按需执行
  sudo systemctl restart sshd
  或
  sudo reboot
  以完成生效。

四 降低风险的实用加固措施

• 防火墙：启用 UFW 并仅放行必要端口（示例为 SSH 22/TCP）
  sudo apt install ufw
  sudo ufw allow 22/tcp
  sudo ufw enable
• SSH 安全：禁用 root 登录、使用密钥认证、可更改默认端口并限制可登录用户
  编辑 /etc/ssh/sshd_config：
  PermitRootLogin no
  建议：PasswordAuthentication no（确保已有密钥再关闭）
• 最小化与账号：仅安装必要软件，定期清理不再使用的包与账户；为长期运行的服务器，可结合 Livepatch 减少内核更新导致的重启需求（需订阅）。

五 常见注意事项

• 区分安全更新与版本升级：前者用 apt/apt-get 系列命令；跨版本升级使用 do-release-upgrade，务必先做好完整备份与变更评估。
• 生产环境变更窗口：自动更新建议配合维护时段与自动重启时间（如 03:00）设置，减少对业务影响。
• 第三方仓库：仅添加可信源，避免引入不可控风险；定期审计已启用的仓库列表。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！