Cómo hacer actualizaciones diarias de seguridad


Javier Fernández-Sanguino Peña.

14 de marzo de 2001
Nivel: medio
Sistema: linux
Arquitectura: todas
Distribución: todas
Sección: administracion
Función: uso


Si te preocupa (y debería) la seguridad de tu sistema Debian, una manera
para mantenerlo más seguro es realizar actualizaciones automáticas de
los paquetes en los que se hayan encontrado problemas de seguridad.

OJO! Antes de nada, las actualizaciones automáticas son "peligrosas" en
el sentido de que las actualizaciones no monitorizadas no son
recomendables en un sistema. Además, dpkg está incorporando soporte para
paquetes .deb firmados pero no está aún hecho, con lo que un
administrador no está 100% seguro de que el paquete binario que está
instalando es el del servidor de seguridad. Más aún, si un atacante
lleva a cabo mecanismos de spoofing de IP o DNS el sistema indicado más
abajo puede ser vulnerado para introducir troyanos.

En resumen: esto está bien para algunos sistemas pero no para otros
más críticos.

Todo lo relacionado con la seguridad, avisos e información, se puede
encontrar en http://www.debian.org/security, ahí te indica la línea de
apt que tienes que añadir para descargarte las actualizaciones, ésta es
(para potato, para otras cambiar el nombre y ya está):

deb http://security.debian.org/ potato/updates main contrib non-free

Si quieres que se actualize diariamente de éstas actualización ahora
puedes poner en el crontab de root unas líneas que lleven a cabo ésto.
Edita el crontab con 'crontab -e') y añade esto:

# Para actualizarse con respecto a security.debian.org
30 0 * * * apt-get update && apt-get -y upgrade

Si utilizas un proxy pon :

30 0 * * * http_proxy=http://IP_de_mi_proxy:puerto apt-get update &&
apt-get -y upgrade

Tienes que tener cuidado porque si tienes otras líneas http aparte de la
de seguridad podrás estar actualizando paquetes que aún no deseas
actualizar. Lo mejor es tener en el apt todas las líneas de salida http
comentadas (menos la de seguridad).

Si eres más paranóico, puedes hacer

30 0 * * * apt-get update && apt-get -y -d upgrade

que no instalará los paquetes, pero los descargará para que el
administrador los inspeccione y luego los instale.

© 2001, La Espiral.