Unattended-Upgrades: Automatische Server-Sicherheit
Richte automatische Sicherheitsupdates auf deinem Ubuntu/Debian Server ein. Schütze deinen Server vor Sicherheitslücken ohne manuelles Eingreifen.
🎯 Was du lernst
🌐 Empfohlener VPS-Anbieter
Für dieses Tutorial benötigst du einen VPS. Unsere Empfehlung:
netcup - ab 1€/Monat, Deutschland, DSGVO-konform
Mehr erfahren →* Affiliate-Link.
📑 Inhaltsverzeichnis
Anleitung
1. Warum automatische Updates?
Sicherheitsupdates sind entscheidend für die Serversicherheit. Jeden Tag werden neue Sicherheitslücken entdeckt und veröffentlicht. Hacker scenen aktiv nach Servern mit bekannten Schwachstellen.
2. Was passiert ohne Updates?
- Sicherheitslücken bleiben offen - Angreifer können sie ausnutzen
- Daten könnten kompromittiert werden - Malware, Ransomware
- Server könnte Teil eines Botnets werden - für DDoS-Angriffe genutzt
- Reputationsschäden - wenn dein Server für Angriffe missbraucht wird
3. Warum unattended-upgrades?
- Du musst nicht jeden Tag manuell Updates prüfen
- Sicherheitsupdates werden automatisch installiert
- Dein Server bleibt sempre geschützt
- Kostet nahezu keine Ressourcen
4. Paket installieren
Das Paket “unattended-upgrades” ist in den Ubuntu- und Debian-Paketquellen enthalten. Die Installation ist einfach:
# System aktualisieren
sudo apt update
# Paket installieren
sudo apt install unattended-upgrades -y
Das Paket wird automatisch konfiguriert und aktiviert. Es installiert standardmäßig nur Updates aus dem Security-Repository.
5. Konfiguration anpassen
6. Grundkonfiguration
Die Hauptkonfigurationsdatei befindet sich in /etc/apt/apt.conf.d/20auto-updates. Öffne sie mit:
sudo nano /etc/apt/apt.conf.d/20auto-updates
Stelle sicher, dass folgende Einträge vorhanden sind:
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
Erklärung:
Unattended-Upgrade "1"- Führt täglich ein Upgrade durchUpdate-Package-Lists "1"- Aktualisiert täglich die PaketlistenAutocleanInterval "7"- Räumt 7 Tage alte heruntergeladene Pakete auf
Speichere mit Strg+O, dann Enter, dann Strg+X zum Schließen.
7. Erweiterte Optionen
Für mehr Kontrolle bearbeite die erweiterte Konfiguration:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
Wichtige Einstellungen:
// Nur Sicherheitsupdates automatisch installieren
Unattended-Upgrade::Origins-Pattern {
"origin=Debian,codename=${distro_codename}-security";
"origin=Ubuntu,codename=${distro_codename}-security";
};
// Automatische Neustarts verhindern (außer wenn nötig)
Unattended-Upgrade::Automatic-Reboot "false";
// Kernel-Updates überspringen (empfohlen für Server)
Unattended-Upgrade::Package-Blacklist {
"linux-image.*";
"linux-headers.*";
};
Tipp: Für die meisten Server ist die Standardkonfiguration bereits optimal. Sei vorsichtig mit zu vielen Änderungen.
8. Service aktivieren und testen
9. Status prüfen
sudo systemctl status unattended-upgrades
Der Dienst sollte “active (running)” anzeigen.
10. Falls nicht aktiviert
# Dienst aktivieren und starten
sudo systemctl enable --now unattended-upgrades
11. Testlauf durchführen
Du kannst einen Testlauf machen, ohne tatsächlich etwas zu installieren:
sudo unattended-upgrade --dry-run --debug
Wichtig: Der Testlauf zeigt dir genau, welche Pakete aktualisiert würden. Achte auf Fehlermeldungen.
12. Benachrichtigungen einrichten
13. E-Mail-Benachrichtigungen
Damit du über installierte Updates informiert bleibst, kannst du E-Mail-Benachrichtigungen aktivieren:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
Füge hinzu:
// E-Mail-Adresse anpassen
Unattended-Upgrade::Mail "admin@deine-domain.de";
// Bei jedem Update eine E-Mail senden
Unattended-Upgrade::MailOnlyOnError "false";
Voraussetzung: Du musst einen Mail-Transfer-Agent installiert haben:
sudo apt install msmtp mailutils
14. Log-Dateien prüfen
Alle Aktivitäten werden protokolliert:
# Log anzeigen
sudo tail -f /var/log/unattended-upgrades/unattended-upgrade.log
Hier siehst du:
- Welche Pakete aktualisiert wurden
- Zeitstempel der Updates
- Etwaige Fehler
15. Best Practices
16. Regelmäßige manuelle Prüfung
Auch mit automatischen Updates solltest du gelegentlich manuell prüfen:
# Monatlich ausführen
sudo apt update && sudo apt upgrade
So verpasst du keine wichtigen Konfigurationsänderungen.
17. Backup vor größeren Updates
Für Produktivserver:
- Erstelle vor größeren Updates ein Backup
- Teste Updates erst auf einem Staging-Server —plane Downtime für kritische Updates
18. Update-Frequenz anpassen
Für besonders kritische Server kannst du die Häufigkeit erhöhen:
APT::Periodic::Unattended-Upgrade "1"; // Täglich
APT::Periodic::Update-Package-Lists "1"; // Täglich
19. Zusammenfassung
Was du heute gelernt hast:
- ✅ Warum automatische Updates wichtig sind - Sicherheitslücken schließen
- ✅ unattended-upgrades installiert - in wenigen Minuten erledigt
- ✅ Konfiguration angepasst - nur Sicherheitsupdates
- ✅ Service aktiviert und getestet - läuft zuverlässig
- ✅ Benachrichtigungen eingerichtet - immer informiert
- ✅ Best Practices angewendet - für sicheren Betrieb
Geschafft! 🎉
Dein Server ist jetzt automatisch vor Sicherheitslücken geschützt. Die Updates laufen im Hintergrund und du musst dir keine Sorgen mehr machen.
Fragen? Schreib uns auf Instagram
Das könnte dich auch interessieren
✅ Geschafft!
Du hast dieses Tutorial abgeschlossen. Hast du Fragen oder Probleme?
Schreib uns auf Instagram