Automatische Updates auf einem Raspberry Pi sind – neben anderen Tweaks, die ich hier vorgestellt habe – besonders sinnvoll, um die Sicherheit des Systems zu gewährleisten. Regelmäßige Updates schließen bekannte Sicherheitslücken und halten das Betriebssystem stabil und aktuell. Ohne manuelle Eingriffe werden wichtige Sicherheits-Patches automatisch installiert, was die Angriffsfläche für Hacker und Malware minimiert. In Kombination mit E-Mail-Benachrichtigungen bleibst du stets informiert, wenn ein Update durchgeführt wurde oder ein Problem aufgetreten ist. Dies sorgt für maximale Sicherheit und reduziert den Wartungsaufwand. Und so geht’s:
1. Installation und Aktivierung von unattended-upgrades:
Zuerst aktualisieren wir den apt Package Manager und updaten existierende Pakete:
1 | sudo apt update && sudo apt upgrade -y &&sudo reboot |
Nach dem Neustart installierst du das notwendige Paket…
1 | sudo apt install unattended-upgrades -y |
…und aktivierst dann die automatischen Updates:
1 | sudo dpkg-reconfigure --priority=low unattended-upgrades |
2. Konfiguration von **unattended-upgrades**:
Öffne die Konfigurationsdatei:
1 | sudo nano /etc/apt/apt.conf.d/50unattended-upgrades |
Hier kannst du die Update-Optionen anpassen und sicherstellen, welche Updates installiert werden. Ich nutze diese Konfiguration (mit // beginnende Zeilen sind auskommentiert/deaktiviert):
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 | Unattended-Upgrade::Origins-Pattern { // Codename based matching: // This will follow the migration of a release through different // archives (e.g. from testing to stable and later oldstable). // Software will be the latest available for the named release, // but the Debian release itself will not be automatically upgraded. "origin=Debian,codename=${distro_codename}-updates"; // this line enables regular package updates from the Debian archive // "origin=Debian,codename=${distro_codename}-proposed-updates"; "origin=Debian,codename=${distro_codename},label=Debian"; // this line enables non-security updates labeled as 'Debian' from the Debian archive "origin=Debian,codename=${distro_codename},label=Debian-Security"; // this line enables security updates from the Debian archive "origin=Debian,codename=${distro_codename}-security,label=Debian-Security"; // this line enables security updates from the Debian archive "origin=Raspbian,codename=${distro_codename},label=Raspbian"; // this line enables non-security updates labeled as 'Raspbian' from the Raspbian archive "origin=Raspberry Pi Foundation,codename=${distro_codename},label=Raspberry Pi Foundation"; // this line enables non-security updates labeled as 'Raspberry Pi Foundation' from the Raspberry Pi Foundation archive // Archive or Suite based matching: // Note that this will silently match a different release after // migration to the specified archive (e.g. testing becomes the // new stable). // "o=Debian,a=stable"; // "o=Debian,a=stable-updates"; // "o=Debian,a=proposed-updates"; // "o=Debian Backports,a=${distro_codename}-backports,l=Debian Backports"; }; |
Zusätzlich macht es Sinn, einen automatischen Reboot nach der Installation der Updates zuzulassen, hierzu muss sich folgende Zeile in der Datei 50unattended-upgrades befinden:
1 | Unattended-Upgrade::Automatic-Reboot <span class="s2">"true"</span><span class="p">;</span> |
Da ich Nachts keine Sternschnuppe oder andere spannende Ereignisse verpassen möchte, habe ich die Uhrzeit für den Reboot auf 11:00 Uhr gestellt:
1 | Unattended-Upgrade::Automatic-Reboot-Time <span class="s2">"11:00"</span><span class="p">;</span> |
3. Konfiguration der automatischen Updates:
Öffne die Datei „/etc/apt/apt.conf.d/20auto-upgrades“:
1 | sudo nano /etc/apt/apt.conf.d/20auto-upgrades |
Füge folgende Zeilen hinzu:
1 2 3 4 | APT::Periodic::Update-Package-Lists "7"; APT::Periodic::Unattended-Upgrade "7"; APT::Periodic::Download-Upgradeable-Packages "7"; APT::Periodic::AutocleanInterval "14"; |
Diese Einstellungen sorgen dafür, dass das System einmal in der Woche nach Updates sucht, diese herunterlädt und automatisch installiert. Alle 14 Tage wird durchgewischt. Die Zeiträume lassen sich natürlich beliebig anpassen.
5. Einrichtung von E-Mail-Benachrichtigungen:
Um E-Mail-Benachrichtigungen über die durchgeführten Updates zu erhalten, musst du die Datei
6. Einrichtung von E-Mail-Benachrichtigungen:
Um E-Mail-Benachrichtigungen über die durchgeführten Updates zu erhalten, musst du die Datei „/etc/apt/apt.conf.d/50unattended-upgrades“ bearbeiten, zum Beispiel mit
1 | sudo nano /etc/apt/apt.conf.d/50unattended-upgrades |
Suche nach dem Abschnitt // Send email und aktiviere diesen:
1 | Unattended-Upgrade::Mail "deine-email@example.com"; |
Du kannst auch angeben, dass nur bei Problemen E-Mails gesendet werden, indem du diese Zeile aktivierst:
1 | Unattended-Upgrade::MailOnlyOnError "true"; |
7. Testen der E-Mail-Benachrichtigungen:
Teste, ob der E-Mail-Versand funktioniert, indem du eine Test-E-Mail versendest:
1 | echo "Testnachricht" | mail -s "Testbetreff" deine-email@example.com |
8. Neustarten der Dienste:
Um sicherzustellen, dass alle Änderungen übernommen wurden, starte den Dienst neu:
1 | sudo systemctl restart unattended-upgrades |
Mit diesen Schritten sind automatische Updates und E-Mail-Benachrichtigungen auf deinem Raspberry Pi eingerichtet. Und sollte es wider erwarten mal Probleme geben bei einem Update, erhältst du eine Benachrichtigung.
9. unattended-upgrades überprüfen:
Eine Trockenübung mit dem Befehl checkt, ob alles sauber eingerichtet ist und funktioniert:
1 | sudo unattended-upgrades --dry-run --debug |