Configurar o unattended-upgrades no Ubuntu como produção de fato precisa

unattended-upgrades vem no Ubuntu por padrão, mas a configuração padrão é um compromisso entre «aplicar updates de segurança rápido» e «não surpreender o usuário». Em uma frota gerenciada esse compromisso está errado nos dois sentidos. Queremos os patches de segurança em minutos, não em dias. Também queremos reboots de kernel em cronograma, não quando o apt decidir.

Esta é a configuração que aplicamos no onboarding a cada host Ubuntu da nossa frota gerenciada.

A config endurecida

// /etc/apt/apt.conf.d/50unattended-upgrades
Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}ESMApps:${distro_codename}-apps-security";
    "${distro_id}ESM:${distro_codename}-infra-security";
};
Unattended-Upgrade::Package-Blacklist {
    "linux-image-*";
    "linux-headers-*";
    "linux-generic";
    "postgresql-*";
    "mysql-server*";
};
Unattended-Upgrade::Automatic-Reboot "false";
Unattended-Upgrade::MinimalSteps "true";
Unattended-Upgrade::Remove-Unused-Dependencies "true";

Auto-patchear pockets de segurança, mas nunca auto-reiniciar e nunca auto-upgradar o kernel ou serviços com estado como Postgres e MySQL. Esses passam por uma janela de manutenção controlada.

O artigo completo cobre:

• Os quatro pockets do apt (release, updates, security, backports) e quais habilitar
• Blacklisting de pacotes — kernel, bancos, runtimes de aplicação
• Orquestração de reboots via needrestart e um cron em toda a frota
• Rollouts em fases: 10 % da frota, depois 50 %, depois 100 %
• Logar a saída do unattended-upgrades para o SIEM
• A integração com livepatch para as CVE de kernel que não podem esperar

Aplicamos este baseline em cada host Ubuntu gerenciado.