Unattended-Upgrades¶

In deze handleiding leer je hoe je Unattended-Upgrades kunt installeren en configureren op een Linux-systeem.
We gebruiken hier Debian/Ubuntu als voorbeeld.

Achtergrondinformatie

Unattended-Upgrades zorgt ervoor dat je systeem automatisch beveiligingsupdates installeert.
Dit verkleint de kans dat je systeem kwetsbaar blijft door vergeten updates.
Vooral handig voor servers die 24/7 draaien, zonder dat je ze handmatig wilt bijwerken.

1. Installatie¶

Debian/UbuntuCentOS/RHEL/Fedora

sudo apt update
sudo apt install -y unattended-upgrades

Voorbeeld output

Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
  unattended-upgrades
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Setting up unattended-upgrades (2.8) ...
Processing triggers for man-db (2.10.2-1) ...

sudo yum install epel-release -y     # Alleen nodig op CentOS/RHEL
sudo yum install -y unattended-upgrades

Voorbeeld output

Updating Subscription Management repositories.
Last metadata expiration check: 0:15:32 ago.
Dependencies resolved.
======================================================================
 Package        Arch   Version             Repository          Size
======================================================================
Installing:
 unattended-upgrades   noarch 0.36-4.el8          epel                200 k

Transaction Summary
======================================================================
Install  1 Package

Installed:
  unattended-upgrades-0.36-4.el8.noarch
Complete!

2. Het roze configuratiescherm (dpkg-reconfigure)¶

Na installatie of via dit commando:

sudo dpkg-reconfigure --priority=low unattended-upgrades

verschijnt er een roze scherm met de vraag:

Automatically download and install stable updates?

Kies hier om beveiligingsupdates automatisch te installeren.
Kies je , dan blijft het pakket wel aanwezig maar moet je handmatig instellen of het updates installeert.

Wat gebeurt er?

Het roze scherm is de Debconf-configuratie-interface.
Achter de schermen wordt het bestand /etc/apt/apt.conf.d/20auto-upgrades aangepast.
Daarin wordt bepaald of automatische updates actief zijn.

Voorbeeldbestand:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

"1" = ingeschakeld
"0" = uitgeschakeld

3. Configuratie¶

De hoofdconfiguratie staat in:

/etc/apt/apt.conf.d/50unattended-upgrades

Hier kun je aangeven wat automatisch wordt bijgewerkt, zoals:

"${distro_id}:${distro_codename}-security";
"${distro_id}:${distro_codename}-updates";

security → beveiligingsupdates (aanbevolen!)
updates → reguliere updates (optioneel, kan stabiliteit beïnvloeden)

4. Logs en controle¶

Je kunt controleren of updates automatisch worden uitgevoerd:

Log bekijken

sudo tail -f /var/log/unattended-upgrades/unattended-upgrades.log

Voorbeeld output

2025-08-26 06:25:15,123 INFO Initial blacklist :
2025-08-26 06:25:15,124 INFO Packages that will be upgraded: openssl libssl3
2025-08-26 06:25:15,456 INFO All upgrades installed

5. Handige commando’s¶

Test run uitvoerenGeforceerde runControleren of auto-updates actief zijn

sudo unattended-upgrade --dry-run --debug

Simuleert een update zonder echt iets te installeren. Handig om te controleren of de instellingen goed staan.

sudo unattended-upgrade -d

Voert direct de automatische updates uit. -d geeft debug-informatie.

sudo systemctl status unattended-upgrades

Geeft status van de service weer.

6. Tips voor productie¶

Best practices

Schakel minimaal beveiligingsupdates in (security).
Controleer regelmatig de logs.
Combineer met mailnotificaties (in 50unattended-upgrades kun je een e-mailadres instellen).
Gebruik samen met UFW en Fail2ban voor een beter beveiligde server.

E-mailmeldingen instellen¶

Je kunt Unattended-Upgrades zo configureren dat je een e-mail ontvangt zodra updates worden uitgevoerd.

Open het configuratiebestand:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Zoek (of voeg toe) de regel:

// Unattended-Upgrade::Mail "root";

en vervang root door je gewenste e-mailadres, bijvoorbeeld:

Unattended-Upgrade::Mail "admin@voorbeeld.com";

Optioneel: alleen e-mail sturen bij fouten:

Unattended-Upgrade::MailOnlyOnError "true";

true → alleen e-mail bij fout.
false → e-mail bij elke update.
Test de mailconfiguratie
Zorg dat het systeem een werkende mailserver of ssmtp/postfix heeft.
Doe een test-run van unattended-upgrades:

sudo unattended-upgrade --dry-run --debug

Als alles goed staat, ontvang je een e-mailmelding wanneer de eerste echte update draait.

Verwijderen¶

Wil je unattended-upgrades toch verwijderen:

sudo apt remove unattended-upgrades

Voorbeeld output

text The following packages will be REMOVED: unattended-upgrades After this operation, 350 kB disk space will be freed.

✅ Met Unattended-Upgrades houd je je server automatisch veilig en up-to-date!