Configurar unattended-upgrades en Ubuntu como producción de verdad lo necesita

unattended-upgrades viene en Ubuntu por defecto, pero la configuración por defecto es un compromiso entre «parchear updates de seguridad rápido» y «no sorprender al usuario». En una flota gestionada, ese compromiso está mal en ambos sentidos. Queremos los parches de seguridad en minutos, no días. También queremos los reboots de kernel según calendario, no cuando apt decida.

Esta es la configuración que aplicamos en el onboarding a cada host Ubuntu de nuestra flota gestionada.

La config endurecida

// /etc/apt/apt.conf.d/50unattended-upgrades
Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}ESMApps:${distro_codename}-apps-security";
    "${distro_id}ESM:${distro_codename}-infra-security";
};
Unattended-Upgrade::Package-Blacklist {
    "linux-image-*";
    "linux-headers-*";
    "linux-generic";
    "postgresql-*";
    "mysql-server*";
};
Unattended-Upgrade::Automatic-Reboot "false";
Unattended-Upgrade::MinimalSteps "true";
Unattended-Upgrade::Remove-Unused-Dependencies "true";

Auto-parchear pockets de seguridad, pero nunca auto-reiniciar y nunca auto-actualizar el kernel o servicios stateful como Postgres y MySQL. Esos pasan por una ventana de mantenimiento controlada.

El artículo completo cubre:

• Los cuatro pockets de apt (release, updates, security, backports) y cuáles habilitar
• Blacklisting de paquetes — kernel, bases de datos, runtimes de aplicación
• Orquestación de reboots vía needrestart y un cron a nivel de flota
• Rollouts por fases: 10 % de la flota, luego 50 %, luego 100 %
• Loguear la salida de unattended-upgrades al SIEM
• La integración con livepatch para las CVE de kernel que no pueden esperar

Aplicamos este baseline a cada host Ubuntu gestionado.