Actualizar sólo paquetes de seguridad en Ubuntu o Debian

Os pongo en situación, tenemos un servidor en producción y aunque mantengamos una política de recuperación rápida basada en snapshots o balanceo, la actualización del sistema es un asunto vital por dos razones: nuevas funcionalidades y sobre todo, seguridad.

Sin embargo, aunque los sistemas gestores de paquetes estilo apt o yum han resuelto gran parte del problema, no deja de ser un riesgos actualizar. ¿Por qué? Puede ser que el sistema por lo que sea, tenga una incompatibilidad hardware o con el software que ya tienes instalado.

Solución de compromiso que siempre recomiendo: actualizar sólo paquetes de seguridad. Veamos cómo hacerlo en distribuciones Debian y derivadas, como Ubuntu. El proceso tiene dos pasos.

Elegir sólo repositorios de seguridad

Primer paso, para ello hacemos una copia del original:

sudo cp /etc/apt/sources.list /etc/apt/security.sources.list

Paso seguido, lo editamos y dejamos sólo las direcciones de seguridad. Las reconoceremos porque incluyen security en su URL, algo así:

deb http://security.ubuntu.com/ubuntu raring-security main restricted

Actualizamos indicando que sólo mire en este nuevo fichero

En lugar del típico apt-get upgrade, le indicaremos un parámetro con la dirección del nuevo fichero:

sudo apt-get upgrade -o Dir::Etc::SourceList=/etc/apt/security.sources.list

Y asunto resuelto. A pesar de esto, seguirán apareciendo “security updates” pendientes, ya que hay actualizaciones de seguridad en el repositorio que no es “security” de nombre, ¿alguien ha conseguido resolver esto?