Mise à jour automatique sur Ubuntu/Debian

Kesako

Nous allons utiliser le paquet unattended-upgrades qui est un paquet Ubuntu/Debian qui permet d’installer automatiquement les mises à jour, sans intervention manuelle (d’où le nom : unattended = « sans surveillance »).

Concrètement, ça fait quoi ?

Tu peux l’élargir pour qu’il mette tout à jour, pas seulement la sécurité.

Il vérifie régulièrement les mises à jour dispo (apt update).

Il installe automatiquement celles qui correspondent à sa configuration (par défaut : sécurité uniquement).

Il peut aussi supprimer les paquets devenus inutiles (autoremove).

Procédure

1. Installer le paquet

Il est souvent déjà présent, mais on vérifie :

apt update
apt install -y unattended-upgrades apt-listchanges

apt update
apt install -y unattended-upgrades apt-listchanges

unattended-upgrades : fait les mises à jour automatiques.

apt-listchanges : envoie des notifications (utile pour les logs ou mails).

2. Activer le Service

Active la gestion automatique :

dpkg-reconfigure -plow unattended-upgrades

dpkg-reconfigure -plow unattended-upgrades

Choisis Yes quand il demande si tu veux activer les mises à jour automatiques.

3. Configurer les sources de mise à jour

Le fichier de config est ici :

nano /etc/apt/apt.conf.d/50unattended-upgrades

nano /etc/apt/apt.conf.d/50unattended-upgrades

Assure toi d’avoir au moins ces lignes décommentées (pour installer toutes les mises à jour et pas seulement la sécurité) :

Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        "${distro_id}:${distro_codename}-updates";
};

Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        "${distro_id}:${distro_codename}-updates";
};

4. Configurer le redémarrage automatique (facultatif)

Toujours dans /etc/apt/apt.conf.d/50unattended-upgrades, ajoute ces lignes à la fin :

// Activer le reboot auto si nécessaire
Unattended-Upgrade::Automatic-Reboot "true";

// Heure fixe pour redémarrer (local time)
Unattended-Upgrade::Automatic-Reboot-Time "12:00";

// (Optionnel) même si des sessions utilisateurs sont ouvertes
Unattended-Upgrade::Automatic-Reboot-WithUsers "true";

// Activer le reboot auto si nécessaire
Unattended-Upgrade::Automatic-Reboot "true";

// Heure fixe pour redémarrer (local time)
Unattended-Upgrade::Automatic-Reboot-Time "12:00";

// (Optionnel) même si des sessions utilisateurs sont ouvertes
Unattended-Upgrade::Automatic-Reboot-WithUsers "true";

Ainsi, si une mise à jour critique demande un redémarrage (nouveau noyau, libc, etc.), la machine attendra midi et redémarrera automatiquement.

5. Vérifier les timers systemd

Ubuntu utilise des timers systemd pour lancer apt et unattended-upgrades. Active-les si besoin :

systemctl enable unattended-upgrades
systemctl enable apt-daily.timer apt-daily-upgrade.timer

systemctl enable unattended-upgrades
systemctl enable apt-daily.timer apt-daily-upgrade.timer

Vérifie qu’ils sont bien actifs :

systemctl list-timers | grep apt

systemctl list-timers | grep apt

tu devrais voir apt-daily.timer et apt-daily-upgrade.timer.

6. Vérifier que tout fonctionne

• Logs des mises à jour automatiques :

journalctl -u unattended-upgrades --no-pager | tail -50

journalctl -u unattended-upgrades --no-pager | tail -50

• Log détaillé :

cat /var/log/unattended-upgrades/unattended-upgrades.log

cat /var/log/unattended-upgrades/unattended-upgrades.log

• Vérifier si un redémarrage est prévu :

ls /var/run/reboot-required

ls /var/run/reboot-required

Si le fichier existe, la machine redémarrera automatiquement à 12h00.

Résume

• Ton Ubuntu installe toutes les mises à jour automatiquement.
• S’il faut redémarrer, il attend 12h00 pile et reboot tout seul.
• Tu n’as plus besoin de te connecter pour gérer manuellement les updates.