Ubuntu自动更新配置与补丁安装教程

Ubuntu默认并不自动安装安全补丁，仅提示或下载更新，真正实现“自动检查、下载、安装、重启、通知”的全闭环安全防护，必须手动启用并精细配置unattended-upgrades服务——从确认包安装与服务状态，到严格校验20auto-upgrades的执行节奏、50unattended-upgrades的源白名单（尤其需显式启用-updates源以覆盖关键内核与云组件补丁），再到配置自动重启时间、部署mailutils实现邮件告警，甚至专门处理内核包不升级这一隐蔽陷阱；任何一环疏漏都可能导致高危漏洞长期未修复，让看似开启的自动更新形同虚设。

Ubuntu 默认不自动安装安全补丁，只下载更新包或提示手动升级；要真正实现“下载 + 安装 + 重启”全自动闭环，必须显式启用 unattended-upgrades 并正确配置触发条件。

如何确认 unattended-upgrades 是否已安装并启用

它不是默认开机自启的服务，即使包已存在，也可能处于禁用状态。

• 检查服务状态：sudo systemctl status unattended-upgrades —— 若显示 inactive (dead) 或 disabled，说明未生效
• 检查包是否安装：dpkg -l | grep unattended-upgrades —— 若无输出，需先运行 sudo apt install unattended-upgrades
• 验证配置文件是否存在且被加载：ls /etc/apt/apt.conf.d/20auto-upgrades 和 /etc/apt/apt.conf.d/50unattended-upgrades

关键配置文件：20auto-upgrades 控制执行节奏

这个文件决定“多久检查一次、是否下载、是否安装”，但很多人只改了它，却忽略 50unattended-upgrades 中的源白名单，导致“看似启用，实则静默跳过”。

• APT::Periodic::Update-Package-Lists "1"; 表示每天运行 apt update
• APT::Periodic::Unattended-Upgrade "1"; 表示每天尝试运行 unattended-upgrade
• APT::Periodic::AutocleanInterval "7"; 清理旧 deb 包（可选）
• ⚠️ 注意：值必须是整数字符串（带引号），写成 1（无引号）会导致语法错误，配置被忽略

50unattended-upgrades 决定“哪些包能装”，安全补丁默认不包含在内

Ubuntu 的安全更新源分多个通道（security, updates, proposed），而该文件默认只允许 security 源中的 main 和 restricted 组件——但很多关键补丁（如内核、cloud-init）实际发布在 updates 源中。

• 检查当前允许源：grep -v '^//' /etc/apt/apt.conf.d/50unattended-upgrades | grep Origin
• 若需启用 updates 源的安全补丁，需取消注释并修改对应行：
  "${distro_id}:${distro_codename}-updates";
• 修改后必须运行 sudo apt update 才能让新源生效，否则 unattended-upgrade 仍查不到可用更新
• 测试配置是否合法：sudo unattended-upgrade --dry-run -d —— 查看日志中是否列出待安装包

自动重启和邮件通知的常见失效点

补丁装完不重启，很多内核/CVE 修复根本没生效；想收通知却收不到，大概率是 mail 命令未就位或配置路径错位。

• 启用自动重启需两步：
  ① 在 50unattended-upgrades 中设置 Unattended-Upgrade::Automatic-Reboot "true";
  ② 同时确保 Unattended-Upgrade::Automatic-Reboot-Time "02:00";（时间格式必须为 HH:MM）
• 邮件通知依赖 mail 命令，但 Ubuntu Server 默认不装 mailutils：sudo apt install mailutils，再配置 Unattended-Upgrade::Mail "admin@example.com";
• 日志默认写入 /var/log/unattended-upgrades/，但若磁盘满或日志轮转异常，可能看不到记录 —— 建议定期检查该目录大小

最易被忽略的是：即便所有配置都对，unattended-upgrade 也**不会升级内核包（linux-image-*）**，除非你额外开启 Unattended-Upgrade::InstallOnShutdown "false"; 并配合 update-notifier-common，或者改用 apt install linux-generic-hwe-22.04 这类元包绑定策略。这点在生产服务器上常导致 CVE-2024-XXXX 类漏洞长期未修复。

好了，本文到此结束，带大家了解了《Ubuntu自动更新配置与补丁安装教程》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！