Mise à jours automatique avec unattended-upgrades

Objectif

Configurer des mises à jour de sécurité automatiques sur une machine Debian/Proxmox à l’aide de unattended-upgrades.

Installation des paquets

apt update
apt install unattended-upgrades apt-listchanges -y

Activation automatique avec dpkg-reconfigure

dpkg-reconfigure unattended-upgrades

Répondre "Oui" à la question pour activer les mises à jour de sécurité automatiques.

Vérification et configuration automatique

L’outil dpkg-reconfigure crée ou met à jour ce fichier :

/etc/apt/apt.conf.d/20auto-upgrades

Avec un contenu équivalent à :

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::AutocleanInterval "7";

Test de fonctionnement

Lancer une simulation de mise à jour automatique :

unattended-upgrade --dry-run --debug

Fichier de configuration avancée (facultatif)

Il est possible de personnaliser les origines de mise à jour et les paquets à exclure dans :

/etc/apt/apt.conf.d/50unattended-upgrades

Par exemple, pour Proxmox, on peux ajouter une blacklist :

Unattended-Upgrade::Package-Blacklist {
    "proxmox-ve";
    "pve-kernel";
    "pve-manager";
    "pve-qemu-kvm";
    "lxc-pve";
    "libpve*";
};

Et activer les origines pertinentes si on veux inclure les mises à jour Proxmox (avec ou sans abonnement) :

Unattended-Upgrade::Allowed-Origins {
    "Debian stable";
    "Debian stable-updates";
    "Debian-security stable-security";
    "PVE pve-no-subscription"; // ou "PVE pve-enterprise"
};