web-dev-qa-db-ja.com

無人アップグレードがデフォルトでLinuxカーネルセキュリティアップデートを検出しない

(以下のN.B.、プライバシー保護のため、VPSホスティングプロバイダーのドメインを<my_hosting_provider>に置き換えました。)

私のDebian 9.3 "Stretch"インスタンスは、利用可能なカーネルアップデートを示しています。

# apt list --upgradable -a
Listing... Done
linux-image-AMD64/stable 4.9+80+deb9u3 AMD64 [upgradable from: 4.9+80+deb9u2]
linux-image-AMD64/stable,now 4.9+80+deb9u2 AMD64 [installed,upgradable to: 4.9+80+deb9u3]

4.9+80+deb9u34.9.65-3+deb9u2と同じだと思います。これは、 CVE-2017-5754 、別名 Meltdown に対処することを目的とした最近のカーネルセキュリティアップデートです。

デフォルトの構成でカーネルセキュリティアップデートのインストールに失敗する

Unattended-Upgrade::Origins-Pattern/etc/apt/apt.conf.d/50unattended-upgradesのデフォルトの内容は次のとおりです。

Unattended-Upgrade::Origins-Pattern {
        "Origin=Debian,codename=${distro_codename},label=Debian-Security";
};

その構成が適切な場合、カーネルセキュリティアップデートはインストールされません。

# unattended-upgrades -v -d
Initial blacklisted packages: 
Initial whitelisted packages: 
Starting unattended upgrades script
Allowed origins are: ['Origin=Debian,codename=stretch,label=Debian-Security']
Checking: linux-image-AMD64 ([<Origin component:'main' archive:'stable' Origin:'Debian' label:'Debian-Security' site:'mirror.<my_hosting_provider>.com' isTrusted:True>])
pkg 'firmware-linux-free' not in allowed Origin
sanity check failed
pkgs that look like they should be upgraded: 
Fetched 0 B in 0s (0 B/s)                                                                                                                                               
fetch.run() result: 0
blacklist: []
whitelist: []
Packages that will be upgraded: 
InstCount=0 DelCount=0 BrokenCount=0
Extracting content from '/var/log/unattended-upgrades/unattended-upgrades-dpkg.log' since '2018-01-05 13:11:22'
Sending mail to 'root'
mail returned: 0

変更された設定によりカーネルのセキュリティ更新がインストールされます

Unattended-Upgrade::Origins-Pattern/etc/apt/apt.conf.d/50unattended-upgradesを変更して読んだ場合

Unattended-Upgrade::Origins-Pattern {
        "Origin=Debian,codename=${distro_codename},label=Debian";
        "Origin=Debian,codename=${distro_codename},label=Debian-Security";
};

次に、セキュリティ更新プログラムが見つかり、インストールされます。

# unattended-upgrades -v -d
Initial blacklisted packages: 
Initial whitelisted packages: 
Starting unattended upgrades script
Allowed origins are: ['Origin=Debian,codename=stretch,label=Debian', 'Origin=Debian,codename=stretch,label=Debian-Security']
Checking: linux-image-AMD64 ([<Origin component:'main' archive:'stable' Origin:'Debian' label:'Debian-Security' site:'mirror.<my_hosting_provider>.com' isTrusted:True>])
pkgs that look like they should be upgraded: linux-image-AMD64
Fetched 0 B in 0s (0 B/s)                                                                                                                                               
fetch.run() result: 0
<apt_pkg.AcquireItem object:Status: 2 Complete: 1 Local: 1 IsTrusted: 1 FileSize: 19196 DestFile:'/var/cache/apt/archives/firmware-linux-free_3.4_all.deb' DescURI: 'http://mirror.<my_hosting_provider>.com/debian/pool/main/f/firmware-free/firmware-linux-free_3.4_all.deb' ID:0 ErrorText: ''>
check_conffile_Prompt('/var/cache/apt/archives/firmware-linux-free_3.4_all.deb')
No conffiles in deb '/var/cache/apt/archives/firmware-linux-free_3.4_all.deb' (There is no member named 'conffiles')
<apt_pkg.AcquireItem object:Status: 2 Complete: 1 Local: 1 IsTrusted: 1 FileSize: 33252 DestFile:'/var/cache/apt/archives/libnuma1_2.0.11-2.1_AMD64.deb' DescURI: 'http://mirror.<my_hosting_provider>.com/debian/pool/main/n/numactl/libnuma1_2.0.11-2.1_AMD64.deb' ID:0 ErrorText: ''>
check_conffile_Prompt('/var/cache/apt/archives/libnuma1_2.0.11-2.1_AMD64.deb')
No conffiles in deb '/var/cache/apt/archives/libnuma1_2.0.11-2.1_AMD64.deb' (There is no member named 'conffiles')
<apt_pkg.AcquireItem object:Status: 2 Complete: 1 Local: 1 IsTrusted: 1 FileSize: 38768102 DestFile:'/var/cache/apt/archives/linux-image-4.9.0-5-AMD64_4.9.65-3+deb9u2_AMD64.deb' DescURI: 'http://mirror.<my_hosting_provider>.com/debian-security/pool/updates/main/l/linux/linux-image-4.9.0-5-AMD64_4.9.65-3+deb9u2_AMD64.deb' ID:0 ErrorText: ''>
check_conffile_Prompt('/var/cache/apt/archives/linux-image-4.9.0-5-AMD64_4.9.65-3+deb9u2_AMD64.deb')
No conffiles in deb '/var/cache/apt/archives/linux-image-4.9.0-5-AMD64_4.9.65-3+deb9u2_AMD64.deb' (There is no member named 'conffiles')
<apt_pkg.AcquireItem object:Status: 2 Complete: 1 Local: 1 IsTrusted: 1 FileSize: 6994 DestFile:'/var/cache/apt/archives/linux-image-AMD64_4.9+80+deb9u3_AMD64.deb' DescURI: 'http://mirror.<my_hosting_provider>.com/debian-security/pool/updates/main/l/linux-latest/linux-image-AMD64_4.9+80+deb9u3_AMD64.deb' ID:0 ErrorText: ''>
check_conffile_Prompt('/var/cache/apt/archives/linux-image-AMD64_4.9+80+deb9u3_AMD64.deb')
found pkg: linux-image-AMD64
No conffiles in deb '/var/cache/apt/archives/linux-image-AMD64_4.9+80+deb9u3_AMD64.deb' (There is no member named 'conffiles')
<apt_pkg.AcquireItem object:Status: 2 Complete: 1 Local: 1 IsTrusted: 1 FileSize: 40396 DestFile:'/var/cache/apt/archives/irqbalance_1.1.0-2.3_AMD64.deb' DescURI: 'http://mirror.<my_hosting_provider>.com/debian/pool/main/i/irqbalance/irqbalance_1.1.0-2.3_AMD64.deb' ID:0 ErrorText: ''>
check_conffile_Prompt('/var/cache/apt/archives/irqbalance_1.1.0-2.3_AMD64.deb')
blacklist: []
whitelist: []
Packages that will be upgraded: linux-image-AMD64
Writing dpkg log to '/var/log/unattended-upgrades/unattended-upgrades-dpkg.log'
apt-listchanges: Reading changelogs...
Preconfiguring packages ...
Selecting previously unselected package firmware-linux-free.
(Reading database ... 45465 files and directories currently installed.)
Preparing to unpack .../firmware-linux-free_3.4_all.deb ...
Unpacking firmware-linux-free (3.4) ...
Selecting previously unselected package libnuma1:AMD64.
Preparing to unpack .../libnuma1_2.0.11-2.1_AMD64.deb ...
Unpacking libnuma1:AMD64 (2.0.11-2.1) ...
Selecting previously unselected package linux-image-4.9.0-5-AMD64.
Preparing to unpack .../linux-image-4.9.0-5-AMD64_4.9.65-3+deb9u2_AMD64.deb ...
Unpacking linux-image-4.9.0-5-AMD64 (4.9.65-3+deb9u2) ...
Preparing to unpack .../linux-image-AMD64_4.9+80+deb9u3_AMD64.deb ...
Unpacking linux-image-AMD64 (4.9+80+deb9u3) over (4.9+80+deb9u2) ...
Selecting previously unselected package irqbalance.
Preparing to unpack .../irqbalance_1.1.0-2.3_AMD64.deb ...
Unpacking irqbalance (1.1.0-2.3) ...
Setting up libnuma1:AMD64 (2.0.11-2.1) ...
Setting up linux-image-4.9.0-5-AMD64 (4.9.65-3+deb9u2) ...
I: /vmlinuz.old is now a symlink to boot/vmlinuz-4.9.0-4-AMD64
I: /initrd.img.old is now a symlink to boot/initrd.img-4.9.0-4-AMD64
I: /vmlinuz is now a symlink to boot/vmlinuz-4.9.0-5-AMD64
I: /initrd.img is now a symlink to boot/initrd.img-4.9.0-5-AMD64
/etc/kernel/postinst.d/initramfs-tools:
update-initramfs: Generating /boot/initrd.img-4.9.0-5-AMD64
/etc/kernel/postinst.d/zz-update-grub:
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-4.9.0-5-AMD64
Found initrd image: /boot/initrd.img-4.9.0-5-AMD64
Found linux image: /boot/vmlinuz-4.9.0-4-AMD64
Found initrd image: /boot/initrd.img-4.9.0-4-AMD64
Found linux image: /boot/vmlinuz-4.9.0-3-AMD64
Found initrd image: /boot/initrd.img-4.9.0-3-AMD64
done
Setting up linux-image-AMD64 (4.9+80+deb9u3) ...
Processing triggers for libc-bin (2.24-11+deb9u1) ...
Processing triggers for systemd (232-25+deb9u1) ...
Setting up firmware-linux-free (3.4) ...
update-initramfs: deferring update (trigger activated)
Processing triggers for man-db (2.7.6.1-2) ...
Setting up irqbalance (1.1.0-2.3) ...
Processing triggers for initramfs-tools (0.130) ...
update-initramfs: Generating /boot/initrd.img-4.9.0-5-AMD64
Processing triggers for systemd (232-25+deb9u1) ...
All upgrades installed
InstCount=0 DelCount=0 BrokenCount=0
Extracting content from '/var/log/unattended-upgrades/unattended-upgrades-dpkg.log' since '2018-01-05 13:24:35'
Sending mail to 'root'
mail returned: 0
Found /var/run/reboot-required, rebooting

ご質問

  • デフォルトの設定でセキュリティアップデートをインストールできなかったことに関して、Debianの一部に対してバグを報告する必要がありますか、それとも予期された動作でしたか(そうであれば、その理由は?)
  • unattended-upgradesにセキュリティ更新を実行させたいだけです。デフォルトの構成が成功しなかった場合、どうすればこれを達成できますか?
6
sampablokuper

上記のコメントのフィードバックに基づいて、これはバグのようです。

対応するバグレポートが提出されました ここ

5
sampablokuper

ストレッチを使用すると、無人アップグレードは午前6時から午前7時の間にのみ開始されます。 aptパッケージのNEWSファイルから:

apt(1.4.2)不安定;緊急度=中

定期的な更新と無人アップグレードが有効になっている場合、定期的な更新の開始は24時間間隔で(1.2から1.4のように)配信されるようになりましたが、無人アップグレードの開始は午前6時から7時までに制限されています。これはsystemdを使用するシステムにのみ影響します。他のシステムは従来の時間単位のcronジョブを引き続き使用します。

-ジュリアンアンドレスクロデ木、2017年5月4日22:54:02 +0200

1
AllenC