ubuntu镜像如何获取最新安全补丁

获取 Ubuntu 最新安全补丁的实用指南

一 命令行快速更新

• 更新索引并安装可用更新（包含安全补丁）：

  sudo apt update
  sudo apt upgrade
  sudo apt full-upgrade    # 遇到内核/核心组件变更时使用
  sudo apt autoremove       # 清理不再需要的依赖
  

• 仅查看安全类可升级包：

  apt list --upgradable | grep -i security
  

• 图形界面：打开“软件更新”（Software Updater），检查并安装更新。以上操作会优先拉取并安装来自官方仓库的安全修复。

二 配置国内镜像以加速获取

• 备份当前源并替换为国内镜像（示例为清华 TUNA）：

  sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak
  sudo sed -i -e "s/cn.archive.ubuntu.com/mirrors.tuna.tsinghua.edu.cn/" /etc/apt/sources.list
  sudo sed -i -e "s/security.ubuntu.com/mirrors.tuna.tsinghua.edu.cn/" /etc/apt/sources.list
  sudo apt update
  

• 或采用“额外添加镜像源”的方式（不动官方源，便于回退）：

  sudo tee /etc/apt/sources.list.d/tsinghua.list <<EOF
  deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy main restricted universe multiverse
  deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-updates main restricted universe multiverse
  deb https://mirrors.tuna.tsuna.tsinghua.edu.cn/ubuntu/ jammy-backports main restricted universe multiverse
  deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-security main restricted universe multiverse
  EOF
  sudo apt update
  

• 说明：将示例中的代号（如jammy）替换为你的实际版本代号（如 focal、noble 等）。上述镜像配置覆盖 main/restricted/universe/multiverse 与 updates/backports/security 通道，确保能获取安全补丁。

三 启用自动安全更新

• 安装并启用无人值守升级（默认只处理安全更新）：

  sudo apt install unattended-upgrades
  sudo dpkg-reconfigure --priority=low unattended-upgrades   # 交互启用
  

• 配置自动更新频率（/etc/apt/apt.conf.d/20auto-upgrades）：

  APT::Periodic::Update-Package-Lists "1";
  APT::Periodic::Download-Upgradeable-Packages "1";
  APT::Periodic::AutocleanInterval "7";
  APT::Periodic::Unattended-Upgrade "1";
  

• 允许的安全源（/etc/apt/apt.conf.d/50unattended-upgrades，按需启用 ESM）：

  Unattended-Upgrade::Allowed-Origins {
      "${distro_id}:${distro_codename}-security";
      // "${distro_id}ESM:${distro_codename}";   // 订阅版可用
  };
  Unattended-Upgrade::Remove-Unused-Dependencies "true";
  

• 测试与验证：

  sudo unattended-upgrade --dry-run
  cat /var/log/unattended-upgrades/unattended-upgrades.log
  

以上设置可确保系统每日自动拉取并安装安全补丁，无需人工干预。

四 常见问题与排查

• 更新卡住或被锁：

  sudo rm /var/lib/apt/lists/lock
  sudo rm /var/cache/apt/archives/lock
  sudo apt update
  

• 变更内核后需重启以生效；如需减少停机，可在具备支持的版本上启用 Livepatch（内核热补丁）服务。
• 若使用自建或镜像源，确保包含 -security 通道；必要时回退到官方源再更新。