私はこれに対するまっすぐな答えを見つけようとしてきましたが、どこにも見つけることができません。セキュリティパッチの無人アップグレードは自動的にサービスを再起動しますか?もしそうなら、例えばpostgresqlのように非常に破壊的なパッケージがある場合、それを防ぐ方法はありますか?また、ログのどこに、サービスが最後に再起動されたかを確認できる場所がありますか?
この質問に答えるには、まず、無人アップグレードが基本的に「aptアップグレード」を自動的に実行するサービスであることを明確にすることが重要です。パッケージをアップグレードしたことがある場合、それらの多くがプロセスの一部としてアクションをトリガーすることに気付くでしょう。たとえば、rsyncをアップグレードすると、デーモンが再起動されることに気付くでしょう。
Setting up rsync (3.1.0-2ubuntu0.2) ...
* Restarting rsync daemon rsync [ OK ]
一般的に、デーモンを含む(つまり、実行中のサービス)よく書かれたdebianパッケージは、アップグレードの一部としてそれらのデーモンを再起動します。気になるパッケージで問題が発生しない場合は、バグを報告してください(可能であれば修正を提供してください)。
これが発生しない重要なケースがあります。サービス自体をアップグレードする代わりに、依存するシステムパッケージをアップグレードします。思い浮かぶ1つの例は、SSLサポートを実装する多くのサービスで使用されるopensslです。これらの場合、サービスを手動で再起動する必要があります。再起動する必要があるものの数や再起動がわからない場合は、再起動すると問題が解決します。
特定のパッケージがアップグレードされないようにするには、Unattended-Upgrade :: Package-Blacklist configスタンザにパッケージを追加します。構文の例については、 再起動が必要なパッケージをアップグレードしないように無人アップグレードを構成できますか? の回答を参照してください。
最後に、アップグレードのトピックについては、カーネルへの重要なセキュリティ修正のための無料の無人ライブアップグレードを提供する canonical-livepatch サービスをプラグインする価値があります。チェックアウトしていない場合は、そうする必要があります。