Parches de seguridad en Ubuntu

Aprendemos a instalar de forma manual parches de seguridad en sistemas Ubuntu. No cabe duda la importancia de mantener nuestros sistemas siempre al día, sobre todo en lo que respecta a las partes más críticas.

Hay que recordar que recientemente os hablé de los 12 pasos para asegurar tu servidor Linux y de como configurar actualizaciones automáticas en sistemas Ubuntu. Esto último es ideal para entornos no productivos. Pero en entornos productivos los parcheos se deben hacer de forma manual, coordinando nuestro trabajo con el de otros equipos, como por ejemplo el de seguridad.

Aplicar parches de seguridad en Ubuntu

Ubuntu no dispone de comandos específicos para los parches de seguridad, como si es el caso de sistemas como RHEL y Centos, o SUSE y openSUSE

De todas formas, podemos listar los paquetes de seguridad disponibles para nuestro sistema, de la siguiente manera:

apt-get -s dist-upgrade| grep "^Inst" | grep -i security

Con un resultado similar al siguiente:

david@servubuntu:~$ sudo apt-get -s dist-upgrade| grep "^Inst" | grep -i security
Inst libext2fs2 [1.44.1-1] (1.44.1-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [e2fsprogs:amd64 on libext2fs2:amd64] [e2fsprogs:amd64 ]
Inst e2fsprogs [1.44.1-1] (1.44.1-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64])
Inst gpg-wks-client [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gnupg:amd64 ]
Inst dirmngr [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gnupg:amd64 ]
Inst gpg [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gpg-wks-server:amd64 gnupg:amd64 ]
Inst gnupg-utils [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gpg-wks-server:amd64 gnupg:amd64 ]
Inst gnupg-l10n [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [all]) [gpg-wks-server:amd64 gnupg:amd64 ]
Inst gpg-agent [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gpg-wks-server:amd64 gnupg:amd64 ]
Inst gpgsm [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gpg-wks-server:amd64 gnupg:amd64 ]
Inst gpgconf [2.2.4-1ubuntu1.1] (2.2.4-1ubuntu1.2 Ubuntu:18.04/bionic-updates, Ubuntu:18.04/bionic-security [amd64]) [gpg-wks-server:amd64 gnupg:amd64 ]
(...)

Para aplicar el parcheado lo podemos hacer de dos formas, por lo menos desde mi experiencia.

Una sería utilizar la misma línea de búsqueda enviado la salida standard (stdout) a apt-get install

apt-get -s dist-upgrade | grep "^Inst" | grep -i securi | \
awk -F " " {'print $2'} | xargs apt-get install -y

O bien de la siguiente forma:

for i in $( apt-get -s dist-upgrade | grep "^Inst" | grep -i securi | \
awk -F " " {'print $2'}); do apt-get install $i -y ; done

Al final cada maestrillo tiene su librillo.

Espero que esta entrada os sea de utilidad en algún momento.

Nos vamos leyendo.