BITEP.NET - Web Hostingdə Yenilikçi Həllər!

Cyber SecurityHostingTutoriallar

Ubuntu-da unattended-upgrades qurulumu: server yeniləmələrini avtomatik və təhlükəsiz edin

14 Apr, 2026 admin

Ubuntu server işlədən hər kəs üçün ən kritik məsələlərdən biri təhlükəsizlik yeniləmələrini vaxtında tətbiq etməkdir. Problem ondadır ki, bir çox server uzun müddət əl ilə yoxlanmır, nəticədə vacib security patch-lər gecikir. Bu isə xüsusilə internetə açıq VPS, cloud instansiya və production server-lərdə real risk yaradır. unattended-upgrades paketi bu problemi azaltmaq üçün istifadə olunur. O, müəyyən edilmiş qaydalara əsasən təhlükəsizlik yeniləmələrini avtomatik quraşdıra bilir.

Bu bələdçidə Ubuntu serverdə unattended-upgrades qurulmasını, necə işlədiyini, hansı konfiqurasiya fayllarının vacib olduğunu, təhlükəsizlik baxımından nəyi açıb nəyi açmamağın daha doğru olduğunu, log-ların necə yoxlandığını və avtomatik reboot məsələsinə necə yanaşmalı olduğunuzu addım-addım göstərəcəyəm.

Bu tutorial kim üçündür?

  • Ubuntu VPS və dedicated server işlədənlər
  • security patch-ləri əl ilə izləmək istəməyən sistem adminləri
  • kiçik cloud infrastrukturunu daha dayanıqlı saxlamaq istəyənlər
  • server təhlükəsizliyini UFW, Fail2ban və SSH hardening-dən sonra bir pillə daha gücləndirmək istəyənlər

unattended-upgrades nə edir?

Bu paket APT əsaslı sistemlərdə müəyyən repository-lərdən gələn yeniləmələri avtomatik quraşdırmağa kömək edir. Praktik olaraq ən çox istifadə olunan ssenari təhlükəsizlik yeniləmələrinin avtomatik tətbiqidir. Yəni siz hər dəfə serverə daxil olub apt updateapt upgrade işlətmədən vacib security patch-lərin quraşdırılmasını təmin etmiş olursunuz.

Amma burada vacib bir balans var. Tam avtomatik yeniləmə rahatlıq yaradır, eyni zamanda nəzarətsiz dəyişiklik riski də yarada bilər. Buna görə ən sağlam yanaşma adətən belə olur:

  • security update-ləri avtomatik et
  • böyük feature və release dəyişikliklərini əl ilə idarə et
  • log və reboot davranışını ayrıca nəzarətdə saxla

Başlamazdan əvvəl

Bu təlimat Ubuntu server üçün hazırlanıb. Sudo hüququ olan istifadəçi ilə işləməyiniz lazımdır. Əgər server production-dadırsa, mümkün olduqda snapshot və ya backup olmasının faydası var. Avtomatik update sistemi təhlükəsizlik üçün dəyərlidir, amma yenə də hər dəyişiklik kimi risk daşıyır.

1. Paket siyahısını yeniləyin

sudo apt update

Bu addım sistemin hazırkı repository metadata-sını yeniləyir. Paket quraşdırmadan əvvəl bunu etmək lazımdır ki, sistem köhnə metadata ilə işləməsin.

2. unattended-upgrades paketini quraşdırın

sudo apt install unattended-upgrades -y

Ubuntu community docs-da bu paket avtomatik təhlükəsizlik yeniləmələri üçün əsas yol kimi göstərilir. Əgər paket artıq quraşdırılıbsa, APT bunu bildirəcək.

3. Paketi aktiv edin

sudo dpkg-reconfigure --priority=low unattended-upgrades

Bu interaktiv addım sizdən avtomatik yeniləmələri aktiv edib-etməmək barədə soruşacaq. Burada təsdiq verəndə sistem adətən /etc/apt/apt.conf.d/20auto-upgrades faylını yaradır və ya yeniləyir.

Tipik olaraq bu faylda aşağıdakı sətirlər görünür:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

Buradakı məna sadədir:

  • Update-Package-Lists "1" -> paket siyahıları gündəlik yenilənsin
  • Unattended-Upgrade "1" -> unattended upgrade gündəlik işləsin

4. Əsas konfiqurasiya faylını yoxlayın

Ən vacib fayllardan biri budur:

/etc/apt/apt.conf.d/50unattended-upgrades

Burada unattended-upgrades hansı origin-lərdən paket qəbul edəcəyini müəyyənləşdirir. Ubuntu docs-da təhlükəsizlik və bəzi update kanalları üçün tipik nümunə göstərilir.

Konfiqurasiyanı açmaq üçün:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Burada adətən belə blok görəcəksiniz:

Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}:${distro_codename}-updates";
};

Bəzi sistemlərdə format bir az fərqli görünə bilər, amma məntiq eynidir. Ən təhlükəsiz başlanğıc yanaşması təhlükəsizlik update-lərinə fokuslanmaqdır. Əgər daha konservativ davranmaq istəyirsinizsə, yalnız security kanalı ilə başlaya bilərsiniz.

5. Paket blacklist istifadəsini anlayın

Eyni faylda belə bölmə də olur:

Unattended-Upgrade::Package-Blacklist {
    // "vim";
    // "libc6";
};

Bu hissə xüsusi paketləri avtomatik yeniləmədən çıxarmaq üçündür. Adətən buna hər sistemdə ehtiyac olmur. Amma əgər müəyyən paket üzərində çox həssas production asılılığınız varsa, onu blacklist etmək barədə düşünə bilərsiniz.

Burada ehtiyatlı olun. Həddən artıq blacklist unattended-upgrades sisteminin faydasını azaldır. Digər tərəfdən çox kritik paketlərdə avtomatik dəyişiklik də bəzən riskli ola bilər. Bu qərar serverin roluna görə verilməlidir.

6. Cari vəziyyəti yoxlayın

Ubuntu docs-a görə yalnız bir fayla baxmaq kifayət etmir, çünki /etc/apt/apt.conf.d/ altındakı fayllar leksikoqrafik sırada oxunur və sonrakı fayl əvvəlkini override edə bilər. Buna görə cari aktiv setting-i belə yoxlamaq daha doğrudur:

apt-config dump APT::Periodic::Unattended-Upgrade

Əgər nəticə belədirsə:

APT::Periodic::Unattended-Upgrade "1";

onda unattended upgrades aktivdir. Əgər dəyər "0" olsa, deaktivdir.

7. Log-ları necə yoxlamaq olar?

Avtomatik update sistemi qurduqdan sonra ən vacib işlərdən biri onun həqiqətən işlədiyini yoxlamaqdır. Bunun üçün log-lar çox vacibdir.

Tipik yoxlama yerləri:

/var/log/unattended-upgrades/
/var/log/dpkg.log

Son unattended-upgrades log-larına baxmaq üçün:

sudo ls -lah /var/log/unattended-upgrades/
sudo tail -n 100 /var/log/unattended-upgrades/unattended-upgrades.log

Əgər burada paketlərin quraşdırıldığını, skipped item-ləri və ya xəta mesajlarını görürsünüzsə, sistem artıq işləyir və siz onun davranışını müşahidə edə bilərsiniz.

8. Debug üçün manual run edin

Əgər unattended-upgrades işləyirmi, ya da niyə işləmədi sualınız varsa, debug rejimində manual run çox faydalıdır.

sudo unattended-upgrade -d

Bu əmr Debian wiki-də də debug üçün tövsiyə olunur. Buradan daha detallı çıxış alıb problem varsa səbəbi daha rahat görə bilərsiniz.

9. Avtomatik reboot məsələsinə necə yanaşmaq lazımdır?

Kernel və bəzi kritik komponent yeniləmələrindən sonra reboot lazım ola bilər. unattended-upgrades bunu avtomatik edə də bilər, etməyə də bilər. Ubuntu docs göstərir ki, bunun üçün belə setting var:

Unattended-Upgrade::Automatic-Reboot "true";

Amma bu qərarı kor-koranə vermək düzgün deyil.

Praktik tövsiyə belədir:

  • single production server-də avtomatik reboot-a ehtiyatla yanaşın
  • cluster və ya redundant infrastruktur yoxdursa, planlaşdırılmamış restart biznes riski yarada bilər
  • test və ya az kritik serverlərdə avtomatik reboot daha rahat ola bilər

Ubuntu community docs ayrıca qeyd edir ki, bəzi hallarda avtomatik reboot davranışı üçün update-notifier-common paketinin də mövcudluğu vacib ola bilər. Minimal sistemlərdə bu paket default gəlməyə bilər.

10. Random sleep və schedule davranışını anlayın

APT periodic işləri eyni anda bütün serverlərin mirror-lara yüklənməməsi üçün random gecikmə ilə işləyə bilər. Bu normal davranışdır. Yəni cron və ya timer tetiklənib, amma proses dərhal başlamayıbsa, bu mütləq xəta demək deyil.

Daha detallı nəzarət istəyirsinizsə, Debian wiki bu periodic update davranışının systemd timer-lərlə də əlaqəli olduğunu göstərir. Xüsusilə aşağıdakı timer-lər vacibdir:

  • apt-daily.timer
  • apt-daily-upgrade.timer

Yoxlamaq üçün:

systemctl status apt-daily.timer
systemctl status apt-daily-upgrade.timer

11. Email və dəyişiklik bildirişləri

Əgər unattended-upgrades sistemini daha ciddi idarə etmək istəyirsinizsə, yalnız update-i aktiv edib unutmaq çox da sağlam yanaşma deyil. Debian tərəfi əlavə olaraq apt-listchanges kimi alətləri də xatırladır. Məqsəd odur ki, problem çıxanda və ya vacib dəyişiklik olanda xəbəriniz olsun.

Əgər serverləriniz çoxdursa, bu tip log və bildiriş inteqrasiyası daha vacib olur.

Tez-tez edilən səhvlər

Yalnız 20auto-upgrades faylına baxmaq

Bu yetərli deyil. Başqa config faylları sonradan override edə bilər. Ona görə apt-config dump ilə faktiki aktiv setting-i yoxlamaq daha düzgündür.

Hər şeyi avtomatik update etmək

Əgər nə etdiyinizi bilmədən bütün update kanallarını açsanız, xüsusilə production server-lərdə gözlənilməz dəyişikliklər arta bilər. Security-first yanaşma daha sağlamdır.

Log-lara baxmamaq

Avtomatlaşdırma qurmaq “bir dəfə aktiv edib unutmaq” deyil. Ən azı periodik olaraq log-ları yoxlamaq lazımdır.

Avtomatik reboot-u düşünmədən açmaq

Bəzi sistemlərdə bu rahatdır, bəzilərində isə ciddi kəsinti yarada bilər. Serverin rolunu nəzərə almadan bunu açmaq düzgün deyil.

Praktik tövsiyə

Əgər yeni başlayırsınızsa, belə edin:

  1. unattended-upgrades paketini quraşdırın
  2. security update-ləri aktiv edin
  3. manual debug run edin
  4. log-ları yoxlayın
  5. bir neçə gün davranışı müşahidə edin
  6. yalnız sonra ehtiyac varsa reboot və əlavə tuning düşünün

Nəticə

Ubuntu serverdə unattended-upgrades qurmaq təhlükəsizlik baxımından çox faydalı addımdır. Xüsusilə internetə açıq sistemlərdə security patch-lərin gecikməsi risk yaradır. Bu alət həmin boşluğu bağlamağa kömək edir. Amma ən yaxşı nəticə üçün onu kor-koranə deyil, log, allowed origins, reboot davranışı və real server rolu nəzərə alınaraq qurmaq lazımdır. Düz qurulanda unattended-upgrades həm vaxt qazandırır, həm də serverin təhlükəsizlik səviyyəsini yüksəldir.

Mənbələr:
Ubuntu Community Help Wiki, Automatic Security Updates
Debian Wiki, PeriodicUpdates / unattended-upgrades guidance

Bir cavab yazın

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir