Configurer unattended-upgrades sur Ubuntu comme la production en a vraiment besoin

unattended-upgrades est livré sur Ubuntu par défaut, mais la configuration par défaut est un compromis entre « patcher les updates de sécurité vite » et « ne pas surprendre l'utilisateur ». Sur une flotte managée, ce compromis est faux dans les deux sens. Nous voulons les patchs de sécurité en minutes, pas en jours. Nous voulons aussi les reboots kernel sur planning, pas quand apt décide.

Voici la configuration que nous appliquons à l'onboarding sur chaque hôte Ubuntu de notre flotte managée.

La config durcie

// /etc/apt/apt.conf.d/50unattended-upgrades
Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}ESMApps:${distro_codename}-apps-security";
    "${distro_id}ESM:${distro_codename}-infra-security";
};
Unattended-Upgrade::Package-Blacklist {
    "linux-image-*";
    "linux-headers-*";
    "linux-generic";
    "postgresql-*";
    "mysql-server*";
};
Unattended-Upgrade::Automatic-Reboot "false";
Unattended-Upgrade::MinimalSteps "true";
Unattended-Upgrade::Remove-Unused-Dependencies "true";

Auto-patcher les pockets de sécurité, mais jamais auto-redémarrer et jamais auto-upgrader le kernel ou les services stateful comme Postgres et MySQL. Ceux-là passent par une fenêtre de maintenance contrôlée.

L'article complet couvre :

• Les quatre pockets apt (release, updates, security, backports) et lesquels activer
• Blacklisting de packages — kernel, bases de données, runtimes applicatifs
• Orchestration des reboots via needrestart et un cron à l'échelle de la flotte
• Rollouts par phases : 10 % de la flotte, puis 50 %, puis 100 %
• Logger la sortie de unattended-upgrades vers le SIEM
• L'intégration livepatch pour les CVE kernel qui ne peuvent pas attendre

Nous appliquons ce baseline à chaque hôte Ubuntu managé.