はじめに
これはaptで管理されているパッケージのセキュリティパッチをあてる記事です。
今回はOpenSSLに対して、セキュリティパッチを当てたのでその記録を残します。
対象のディストリビューションはUbuntu22.04です。
セキュリティパッチをあてる方法
Ubuntuでは自動でセキュリティパッチをあてることもできるようです。
https://help.ubuntu.com/community/AutomaticSecurityUpdates
しかし、無人の状態で本番環境にパッチすることに抵抗を感じたため、今回は手動で行うこととしました。
aptパッケージ一覧の更新
まずは、aptパッケージ一覧を最新化します。
sudo apt update
対象のセキュリティパッチバージョンを確認
次に、適用できるセキュリティパッチを確認します。
自分があてたいパッチがあるかを事前に確認する目的です。
sudo apt-get upgrade -s |grep security
ここではsudo apt-get upgradeに-sオプションを付けています。
-sは--simulateオプションであり、シミュレーションをおこないますが、実際には更新されません。
(補足:apt-getとしているのはapt manに-sオプションの説明が無かったためです。)
sudo apt-get upgradeしたときに更新されるパッケージの中から、securityと付くものをgrepした結果を表示します。
表示結果には以下のように、今回セキュリティパッチをあてたいOpenSSLが含まれていました。
Inst openssl [3.0.2-0ubuntu1.8] (3.0.2-0ubuntu1.10 Ubuntu:22.04/jammy-updates, Ubuntu:22.04/jammy-security [amd64])
Conf openssl (3.0.2-0ubuntu1.10 Ubuntu:22.04/jammy-updates, Ubuntu:22.04/jammy-security [amd64])
Inst libssl3 [3.0.2-0ubuntu1.8] (3.0.2-0ubuntu1.10 Ubuntu:22.04/jammy-updates, Ubuntu:22.04/jammy-security [amd64]) []
Conf libssl3 (3.0.2-0ubuntu1.10 Ubuntu:22.04/jammy-updates, Ubuntu:22.04/jammy-security [amd64]) []
セキュリティパッチをあてる
特定のパッケージに対して更新を行う場合は、sudo apt-get install [pkg=pkg_version_number]で出来ます。
sudo apt-get install openssl=3.0.2-0ubuntu1.10
sudo apt-get install libssl3=3.0.2-0ubuntu1.10
おまけ:プロセス再起動要否の確認
パッケージの中にはセキュリティパッチをあてた後にプロセス再起動が必要なものがあります。
セキュリティパッチ後に再起動の要否を確認する手順です。
sudo checkrestart -a
Command 'checkrestart' not found, but can be installed with:sudo apt install debian-goodiesが表示された場合は、
debian-goodiesパッケージをインストールします。
sudo apt install debian-goodies
以上です。