16.우분투 서버 유지 보수 및 업데이트, unattended-upgrades를 사용한 자동 보안 업데이트

우분투 서버는 다양한 애플리케이션과 서비스를 호스팅할 수 있는 뛰어난 플랫폼입니다. 그러나 서버를 안전하고 안정적으로 운영하기 위해서는 정기적인 유지보수와 업데이트가 필수적입니다.
이러한 과정은 시스템의 보안과 성능을 유지하는 데 중요한 역할을 하며, 운영자는 이 부분에 대한 이해와 함께 적절한 관리 방법을 익혀야 합니다.
이번 글에서는 우분투 서버의 유지 보수 및 업데이트 방법, 그리고 unattended-upgrades를 이용한 자동 보안 업데이트 설정에 대해 알아보겠습니다.

1. 우분투 서버 유지 보수 개요

서버 유지 보수란, 시스템을 안전하고 안정적으로 운영하기 위해 시행하는 작업을 의미하며, 다음과 같은 항목들이 포함됩니다:

  • 정기적인 소프트웨어 업데이트
  • 보안 패치 적용
  • 하드웨어 상태 점검
  • 로그 파일 점검 및 관리
  • 백업 및 데이터 복구 테스트

2. 우분투 서버 업데이트

우분투에서는 apt 패키지 관리 시스템을 사용하여 소프트웨어를 관리하고 업데이트할 수 있습니다.
서버를 정기적으로 업데이트하는 것은 시스템의 보안을 유지하고 성능을 향상시키는 중요한 단계입니다. 이를 위해 다음과 같은 명령어를 사용할 수 있습니다:

2.1. 소프트웨어 업데이트 명령어

sudo apt update

이 명령은 현재 시스템에 설치된 패키지 목록을 서버와 동기화합니다. 최신 버전을 찾기 위해 항상 이 명령어로 패키지 목록을 업데이트하는 것이 좋습니다. 

sudo apt upgrade

이 명령은 시스템에 설치된 모든 패키지를 최신 버전으로 업그레이드합니다. 진행 중에 종종 추가적인 질문이 발생할 수 있으므로 이를 주의 깊게 확인해야 합니다. 

sudo apt dist-upgrade

이 명령은 시스템의 전체 업그레이드를 수행하며, 필요에 따라 새로운 패키지를 설치하거나 기존 패키지를 제거합니다. 이는 upgrade보다 더 포괄적인 업데이트를 진행합니다.

2.2. 유지 보수 스케줄 설정

서버 유지 보수의 일환으로 주기적인 업데이트를 자동화하는 것이 좋습니다.
crontab을 사용하여 자동화할 수 있으며, 예를 들어 매주 일요일에 업데이트를 실행하도록 설정할 수 있습니다. 

sudo crontab -e

다음과 같은 형식으로 추가할 수 있습니다:

0 2 * * 0 apt update && apt upgrade -y

이 설정은 매주 일요일 오전 2시에 apt updateapt upgrade를 자동으로 실행합니다.

3. unattended-upgrades 사용하여 자동 보안 업데이트 설정

보안 업데이트는 시스템을 매우 안전하게 유지하는 데 필수적입니다.
unattended-upgrades 패키지를 사용하면 패키지를 자동으로 업데이트할 수 있습니다. 이 패키지는 특히 보안 업데이트를 자동으로 설치하도록 설계되었습니다.

3.1. unattended-upgrades 설치

sudo apt install unattended-upgrades

위 명령을 통해 unattended-upgrades 패키지를 설치할 수 있습니다.

3.2. 설정 파일 수정

설치 후, unattended-upgrades의 설정 파일을 수정하여 자동 업데이트의 동작 방식을 정의할 수 있습니다. 설정 파일은 다음 경로에 있습니다: 

/etc/apt/apt.conf.d/50unattended-upgrades

이 파일을 엽니다: 

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

그 다음, 다음과 같은 설정을 확인하거나 활성화합니다:


Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}:${distro_codename}-updates";
};

위 설정은 보안 업데이트와 추가 업데이트를 허용합니다. 필요에 따라 더 많은 소스(예: -proposed, -backports)를 추가할 수 있습니다.

3.3. 자동 업데이트 설정 활성화

다음으로, 자동 업데이트 기능을 활성화하기 위해 설정 파일을 수정해야 합니다. 아래 명령어를 사용하여 20auto-upgrades 파일을 엽니다: 

sudo nano /etc/apt/apt.conf.d/20auto-upgrades

파일의 내용은 다음과 같이 설정해야 합니다: 


APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

이 설정은 자동으로 패키지 목록을 매일 업데이트하고, 보안 업데이트를 자동으로 설치합니다.

3.4. 설정 테스트

설정이 완료된 후, 업데이트가 올바르게 작동하는지 확인하기 위해 테스트할 수 있습니다. 테스트를 위해 아래 명령어를 사용합니다: 

sudo unattended-upgrade --dry-run --debug

이 명령은 실제로 업데이트를 실행하지 않고 어떤 업데이트가 가능한지 출력합니다.

출력 결과를 통해 설정이 올바른지 확인할 수 있습니다.

4. 로그 파일 점검

자동 업데이트가 완료되면 업데이트 로그 파일을 확인하여 어떤 패키지가 업데이트되었는지 확인할 수 있습니다. 로그 파일은 다음 위치에 있습니다: 

/var/log/unattended-upgrades/unattended-upgrades.log

이 로그 파일을 통해 자동 업데이트의 결과와 문제를 점검할 수 있습니다.

5. 보안 모니터링 도구 사용

서버의 안전한 운영을 위해서는 unattended-upgrades 외에도 다양한 보안 모니터링 도구를 사용하는 것이 좋습니다. 예를 들어, fail2ban, logwatch와 같은 도구를 활용하여 서버를 감시하고 악의적인 접근을 차단할 수 있습니다.

결론

우분투 서버의 유지 보수와 업데이트는 서버의 안정성과 보안을 유지하는 데 매우 중요합니다.
unattended-upgrades를 설정하면 보안 업데이트를 자동으로 적용하여 시스템을 보다 안전하게 유지할 수 있습니다.
정기적인 점검과 로그 모니터링을 통해 문제를 사전에 예방하고, 안정적인 서버 운영 환경을 구축할 수 있습니다.
이러한 과정은 우분투 서버 관리자에게 필수적인 작업으로, 지속적인 학습과 관리가 필요합니다.