Ubuntu Stream8如何进行安全更新

Ubuntu Stream 8 安全更新指南

一 名称纠正与版本支持

• 你很可能指的是 Ubuntu 22.04 LTS（Jammy Jellyfish） 或 Ubuntu 20.04 LTS（Focal Fossa）。Ubuntu 并不存在名为 “Ubuntu Stream 8” 的正式版本；若你使用的是 Ubuntu Core 8，它是嵌入式镜像，安全更新机制与普通桌面/服务器不同，需通过 Snap 与厂商渠道获取。另请注意，Ubuntu 8.04 为已停止支持的非常早期版本，不再提供安全更新。以上信息有助于选择正确的更新方法。

二 手动安装安全更新

• 更新索引并查看可升级的安全补丁：
  • sudo apt update
  • apt list --upgradable
• 仅安装安全更新（推荐做法）：
  • sudo unattended-upgrade
• 如需一次性应用所有可升级包（包含非安全更新），可执行：
  • sudo apt upgrade
• 遇到被保留的包或依赖变化时，再执行：
  • sudo apt dist-upgrade
• 更新完成后，按需重启相关服务或系统：
  • sudo systemctl restart sshd
  • sudo reboot
• 说明：unattended-upgrade 默认只处理来自 -security 仓库的更新，适合“只打安全补丁”的场景。

三 启用自动安全更新

• 安装自动更新工具：
  • sudo apt update && sudo apt install unattended-upgrades
• 配置仅允许安全仓库（/etc/apt/apt.conf.d/50unattended-upgrades）：
  • 确保包含如下行（默认通常已存在）：
    • Unattended-Upgrade::Allowed-Origins {
      • “${distro_id}:${distro_codename}-security”;
      • // 如使用 Ubuntu Pro/ESM，可按需添加：“${distro_id}ESM:${distro_codename}”;
      • };
• 启用并配置自动执行（/etc/apt/apt.conf.d/20auto-upgrades）：
  • APT::Periodic::Update-Package-Lists “1”;
  • APT::Periodic::Download-Upgradeable-Packages “1”;
  • APT::Periodic::AutocleanInterval “7”;
  • APT::Periodic::Unattended-Upgrade “1”;
• 试运行与验证：
  • 试运行：sudo unattended-upgrade --dry-run -d
  • 查看日志：cat /var/log/unattended-upgrades/unattended-upgrades.log
• 以上配置可实现“每日检查、仅自动安装安全更新、定期清理旧包”。

四 验证与常见问题

• 验证更新是否生效：
  • 查看日志：cat /var/log/unattended-upgrades/unattended-upgrades.log
  • 检查可升级列表：apt list --upgradable
• 只安装安全更新的替代方法（包固定优先级）：
  • 在 /etc/apt/preferences 中添加：
    • Package: *
      • Pin: release a=<你的发行版代号>-security
      • Pin-Priority: 500
    • Package: *
      • Pin: release o=Ubuntu
      • Pin-Priority: 50
  • 然后执行 sudo apt update && sudo apt upgrade
• 风险提示：
  • 若系统为 Ubuntu Core 8，请通过 snap refresh 与设备厂商的 OTA 渠道获取安全更新，不要混用桌面/服务器的 APT 流程。
  • 若你实际运行的是 Ubuntu 8.04 等已 EOL 版本，建议尽快迁移到受支持的 LTS 版本，以获得持续安全维护。