Mise à jour automatique sur Ubuntu/Debian

Kesako

Nous allons utiliser le paquet unattended-upgrades qui est un paquet Ubuntu/Debian qui permet d’installer automatiquement les mises à jour, sans intervention manuelle (d’où le nom : unattended = « sans surveillance »).

Concrètement, ça fait quoi ?

Tu peux l’élargir pour qu’il mette tout à jour, pas seulement la sécurité.

Il vérifie régulièrement les mises à jour dispo (apt update).

Il installe automatiquement celles qui correspondent à sa configuration (par défaut : sécurité uniquement).

Il peut aussi supprimer les paquets devenus inutiles (autoremove).

Procédure

Installer le paquet

Il est souvent déjà présent, mais on vérifie :

apt update
apt install -y unattended-upgrades apt-listchanges

apt update
apt install -y unattended-upgrades apt-listchanges

unattended-upgrades : fait les mises à jour automatiques.

apt-listchanges : envoie des notifications (utile pour les logs ou mails).

Activer le Service

Active la gestion automatique :

dpkg-reconfigure -plow unattended-upgrades

dpkg-reconfigure -plow unattended-upgrades

Choisis “Yes” lorsqu’il te sera demandé si tu veux activer les mises à jour automatiques.

Configurer les sources de mise à jour

Le fichier de config est ici :

nano /etc/apt/apt.conf.d/50unattended-upgrades

nano /etc/apt/apt.conf.d/50unattended-upgrades

Assure toi d’avoir au moins ces lignes décommentées (pour installer toutes les mises à jour et pas seulement la sécurité) :

Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        "${distro_id}:${distro_codename}-updates";
};

Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        "${distro_id}:${distro_codename}-updates";
};

Configurer le redémarrage automatique (facultatif)

Toujours dans /etc/apt/apt.conf.d/50unattended-upgrades, ajoute ces lignes à la fin :

// Activer le reboot auto si nécessaire
Unattended-Upgrade::Automatic-Reboot "true";

// Heure fixe pour redémarrer (local time)
Unattended-Upgrade::Automatic-Reboot-Time "12:00";

// (Optionnel) même si des sessions utilisateurs sont ouvertes
Unattended-Upgrade::Automatic-Reboot-WithUsers "true";

// Activer le reboot auto si nécessaire
Unattended-Upgrade::Automatic-Reboot "true";

// Heure fixe pour redémarrer (local time)
Unattended-Upgrade::Automatic-Reboot-Time "12:00";

// (Optionnel) même si des sessions utilisateurs sont ouvertes
Unattended-Upgrade::Automatic-Reboot-WithUsers "true";

Ainsi, si une mise à jour critique demande un redémarrage (nouveau noyau, libc, etc.), la machine attendra midi et redémarrera automatiquement.

Vérifier les timers systemd

Ubuntu/Debian utilise des timers systemd pour lancer apt et unattended-upgrades. Active-les si besoin :

systemctl enable unattended-upgrades
systemctl enable apt-daily.timer apt-daily-upgrade.timer

systemctl enable unattended-upgrades
systemctl enable apt-daily.timer apt-daily-upgrade.timer

Vérifie qu’ils sont bien actifs :

systemctl list-timers | grep apt

systemctl list-timers | grep apt

tu devrais voir apt-daily.timer et apt-daily-upgrade.timer.

Vérifier que tout fonctionne

• Logs des mises à jour automatiques :

journalctl -u unattended-upgrades --no-pager | tail -50

journalctl -u unattended-upgrades --no-pager | tail -50

• Log détaillé :

cat /var/log/unattended-upgrades/unattended-upgrades.log

cat /var/log/unattended-upgrades/unattended-upgrades.log

• Vérifier si un redémarrage est prévu :

ls /var/run/reboot-required

ls /var/run/reboot-required

Si le fichier existe, la machine redémarrera automatiquement à 12h00.

Résume

• Ton Ubuntu/Debian installe toutes les mises à jour automatiquement.
• S’il faut redémarrer, il attend 12h00 pile et reboot tout seul.
• Tu n’as plus besoin de te connecter pour gérer manuellement les updates.