在 Ubuntu 里判断自动更新源是否安全、只更官方安全补丁,非常简单,只看一个配置文件就行。用最清晰、最实用的方式教你怎么看、怎么改、怎么确认安全。
一、直接看配置(最关键)
打开自动更新的源限制文件:
sudo vim /etc/apt/apt.conf.d/50unattended-upgrades
找到这一段:
Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}-security";
// "${distro_id}:${distro_codename}-updates";
// "${distro_id}:${distro_codename}-proposed";
// "${distro_id}:${distro_codename}-backports";
};
只有这一行是 安全、官方、可信 的:
${distro_id}:${distro_codename}-security
含义:
- 只安装 Ubuntu 官方安全补丁
- 修复高危漏洞、系统漏洞
- 不会升级 Nginx、PHP、MySQL 等业务软件
- 不会破坏你的网站环境
其他几行都不安全 / 不建议开启
…-updates:普通软件更新(可能升级 Nginx/PHP)…-proposed:测试版更新(不稳定)…-backports:新版软件回移植(极易搞崩环境)
只要这三行前面带 // 被注释掉,就是安全的。
二、查看你当前启用了哪些源(命令行快速检查)
grep -A5 -B5 "Allowed-Origins" /etc/apt/apt.conf.d/50unattended-upgrades
出现下面这样就是 最安全、最标准:
Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}-security";
// "${distro_id}:${distro_codename}-updates";
// "${distro_id}:${distro_codename}-proposed";
// "${distro_id}:${distro_codename}-backports";
};
三、查看系统本身的源是否安全
cat /etc/apt/sources.list
安全源一定是这样的:
http://archive.ubuntu.com/ubuntu
http://security.ubuntu.com/ubuntu
只要不是奇怪的域名、第三方源,就是安全的。
四、测试自动更新会装什么(最稳妥验证)
sudo unattended-upgrade --dry-run --debug
看输出:
- 只出现
security关键词 → 安全 - 出现
updates/backports→ 源配置不安全 - 出现第三方软件 → 源被篡改
五、一句话总结(最实用)
✅ 安全 = 只启用 -security 源
❌ 不安全 = 启用了 -updates、-proposed、-backports 或第三方源