2017年6月4日日曜日

カーネルの自動アップデートの停止

Ubuntu16.04 導入時、「自動アップデートの適用可否」という選択肢が出てきたので、「アップデートしない」にしておいた。
が、カーネルを含むセキュリティアップデートは自動で適用されてしまっているようだ。

他のパッケージならともかく、カーネルの自動アップデートが走ると、(カーネルは入れ替えじゃないため)どんどんディスクを消費していってしまう。
過去、とあるサーバで、気付いたら / がパンクしていてにっちもさっちも行かない状態になったことがある。
常に運用監視するサーバなら、自動アップデートは適用しつつ、適宜再起動を行ってカーネルを最新にしておくべきだが、ウチのマシンはそこまでガチガチに運用するツモリは無い。
また、一応外部(The Internet側)からは、ssh鍵が無いと入れないようにしているため、sshdのセキュリティにだけ気を付けていれば、とりあえず大丈夫なはずだ。
(いや、sshd の手前のネットワークドライバに問題があれば、ssh セキュリティ関係無く突破されてしまうか…)

というわけで、カーネルの自動アップデートだけは禁止にしておきたい。
その代わり、出来るだけ高頻度に、手作業で apt-get upgrade や apt-get install linux-headers-generic linux-signed-generic linux-signed-image-generic を実施するように。

で、どうも調べてみたら、
セキュリティアップデートを停止させるのは /etc/apt/apt.conf.d/50unattended-upgrades というファイルをいじるようだ。

セキュリティフィックスを適用するのを停止したかったら、このファイルの Unattended-Upgraede::Allowed-Origins {} の定義の "${distroid}:${distro_codename}-security"; を無効化すればいいっぽいけど、これを実施すると、全てのセキュリティフィックスが自動適用されなくなる。
ちょっと目的が違う。
今回は、カーネルの自動アップデートだけ避けたい。
この場合は、Unattended-Upgrade::Package-Blacklist {} に当該パッケージを指定すればいいっぽい。

というわけで、gemini / sagittarius / aquarius に実施してみる。
(cancer はまだ死んだまま、復活させていないので。)
$ sudo vi /etc/apt/apt.conf.d/50unattended-upgrades
--ココから
16行目付近
Unattended-Upgrade::Package-Blacklist {
// "vim";
↓3行追記
Unattended-Upgrade::Package-Blacklist {
"linux-headers-generic";
"linux-signed-generic";
"linux-signed-image-generic";
// "vim";
--ココまで

これで期待した動きをするのか…?
暫く様子見することにする。

今回はココまで

0 件のコメント:

コメントを投稿