Отключение автоматических обновлений в Ubuntu
TL;DR
Автообновления в Ubuntu управляются пакетом unattended-upgrades. Их можно временно отключить, изменив файл /etc/apt/apt.conf.d/20auto-upgrades или полностью удалить пакет. Это полезно при необходимости контролировать время обновлений, но требует регулярных ручных проверок безопасности.

Регулярное обновление приложений важно для защиты системы от уязвимостей и поддержания актуальности функций и патчей безопасности. В Ubuntu автоматические обновления включены по умолчанию и выполняют проверку и установку пакетов без вмешательства пользователя. Некоторым пользователям нужен ручной контроль, чтобы устанавливать обновления в удобное время или предотвращать конфликты с установкой пакетов.
Зачем отключать автоматические обновления в Ubuntu
Автоматические обновления (Unattended Upgrades) упрощают поддержку безопасности: система периодически загружает и устанавливает исправления. Однако у этого подхода есть слабые стороны:
- Потребление пропускной способности и ресурсов в момент загрузки и установки обновлений.
- Возможные конфликты при одновременной ручной установке пакетов (например, блокировка dpkg).
- Нежелательные изменения поведения приложений в рабочее время.
Ошибка блокировки кэша apt/dpkg — распространённая причина раздражения. При попытке установить пакет вручную вы можете увидеть сообщение “Waiting for cache lock: Could not get lock /var/lib/dpkg/lock-frontend”.
Важно: отключение автообновлений не отменяет обязанности регулярно устанавливать обновления вручную.
Как проверять, включены ли автообновления
Unattended Upgrades обычно предустановлен в релизах Ubuntu. Чтобы проверить состояние сервиса, выполните:
sudo systemctl status unattended-upgrades.serviceТакже можно посмотреть текущие значения периодических настроек APT:
apt-config dump APT::Periodic::Update-Package-Lists
apt-config dump APT::Periodic::Unattended-UpgradeЕсли значения не равны “0”, значит проверка или автоматическая установка включены.
Отключение автоматических обновлений через CLI
- Откройте файл автоконфигурации для редактирования:
sudo nano /etc/apt/apt.conf.d/20auto-upgrades- Измените или добавьте строки так, чтобы значения были “0”:
APT::Periodic::Update-Package-Lists "0";
APT::Periodic::Unattended-Upgrade "0";Сохраните файл и закройте редактор.
Проверьте изменения снова:
apt-config dump APT::Periodic::Update-Package-Lists
apt-config dump APT::Periodic::Unattended-UpgradeЕсли настройки применились, команды вернут “0”.
- Альтернативно, чтобы полностью убрать функциональность, можно удалить пакет:
sudo apt remove unattended-upgradesУдаление пакета делает возврат к автообновлениям более сложным — для повторной активации его придётся снова установить и настроить.
Важное примечание: если вы отключаете автообновления в серверной среде, внедрите расписание ручных проверок или автоматизацию через систему управления конфигурацией (Ansible, Puppet, Chef) или CI/CD.
Отключение автоматических обновлений через графический интерфейс
- Нажмите клавишу Super и введите “software and updates”.
- Выберите “Software & Updates” из результатов поиска.
- Откройте вкладку “Updates”.
- Установите “Automatically check for updates” в значение “Never”.
- Измените “When there are security updates” с “Download and install automatically” на “Display immediately”.
Эти настройки отключат автоматическую проверку и автоустановку, но оставят уведомления о доступных обновлениях.
Как вручную проверять и устанавливать обновления
Для периодической ручной проверки и установки обновлений используйте стандартные команды:
sudo apt update
sudo apt upgradeДля выбора только безопасности или конкретных пакетов применяйте apt policy и apt install
Вы можете также использовать графический Software Updater для локальных рабочих станций.
Рекомендации по безопасному отключению автообновлений
- Планируйте регулярные окна обновлений (еженедельно или ежемесячно) и документируйте ответственных.
- На серверах критичных служб используйте staged-обновления: тестирование на стенде перед продакшеном.
- Внедрите мониторинг доступности обновлений и оповещения о критических патчах.
Что делать при ошибке блокировки dpkg
Если при установке пакета появляется сообщение про блокировку, сначала проверьте, не запущен ли unattended-upgrades:
systemctl status unattended-upgrades.service
ps aux | grep unattended-upgradesЕсли процесс действительно активно обновляет систему, дождитесь завершения. В экстренных случаях можно аккуратно завершить процесс или убрать файл блокировки, но это рискованно и может повредить базу данных пакетов. Лучше дождаться завершения или перезагрузить систему, если процесс завис.
Когда не стоит отключать автоматические обновления
- На публичных серверах с открытыми портами важны автоматические патчи безопасности.
- Если вы не можете гарантировать регулярные ручные обновления.
Альтернативные подходы
- Отключать автообновления только для десктопа, но оставлять для серверов.
- Разделять виды обновлений: позволять автоустановку критических security-патчей, но отключать обновление приложений.
- Настроить окно неповреждаемого времени (maintenance window) с помощью systemd timers или cron.
Быстрый чеклист по ролям
Для системного администратора:
- Проверить, нужен ли unattended-upgrades на серверах.
- Настроить расписание обновлений и уведомления.
- Документировать процесс отката и тестирования.
Для пользователя рабочего стола:
- Переключить “Automatically check for updates” в GUI при необходимости.
- Запланировать напоминание о ручной проверке обновлений.
Для DevOps-инженера:
- Интегрировать обновления в CI/CD и автоматизированные тесты.
- Использовать staged rollout и мониторинг здоровья сервисов.
Мини-методология безопасных обновлений
- Тестирование: сначала обновляйте тестовую среду.
- Резервные копии: снимок или резерв перед обновлением критичных систем.
- Роллаут: поэтапное развёртывание на группах хостов.
- Мониторинг: проверка метрик и логов после обновления.
- Откат: иметь планы отката и инструкции на случай регрессий.
Диаграмма принятия решения
flowchart TD
A[Нужны ли автообновления?] --> B{Это сервер с внешним доступом?}
B -- Да --> C[Оставить автообновления включёнными]
B -- Нет --> D{Нужен ли строгий контроль версии?}
D -- Да --> E[Отключить автообновления, планировать ручные проверки]
D -- Нет --> C
C --> F[Настроить уведомления о критических обновлениях]
E --> G[Внедрить расписание обновлений и резервное копирование]Риски и смягчения
- Риск: пропустить критический патч безопасности. Смягчение: настроить мониторинг и оповещения о новых CVE/патчах.
- Риск: конфликт пакетов при ручной установке. Смягчение: использовать maintenance window и проверять блокировки dpkg.
- Риск: регрессия функционала после обновления. Смягчение: тестирование и staged rollout.
Краткий глоссарий
- unattended-upgrades — служба автоматической установки пакетов безопасности.
- apt-config dump — команда для вывода текущих настроек APT.
- dpkg lock — механизм, предотвращающий одновременную модификацию базы пакетов.
Когда снова включать автообновления
Если вы вернулись к операционной модели, где автоматическое исправление критических уязвимостей важнее риска внезапных изменений, просто установите значения обратно в 1 или переустановите пакет:
sudo nano /etc/apt/apt.conf.d/20auto-upgradesЗамените:
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";или
sudo apt install unattended-upgradesЗаключение
Отключение автоматических обновлений даёт больший контроль над временем и содержимым обновлений, но увеличивает управленческую нагрузку и риск пропуска важных патчей безопасности. При принятии решения учитывайте характер системы (сервер или рабочая станция), требования безопасности и способность команды поддерживать регулярные вручную планируемые обновления.
Краткие рекомендации:
- На критичных продакшен-серверах чаще сохраняйте автообновления включёнными.
- В пользовательских средах и при специальных требованиях к версиям — отключайте с обязательной настройкой расписания и оповещений.
Критерии приёмки
- Автообновления отключены: apt-config возвращает “0” для APT::Periodic::Update-Package-Lists и APT::Periodic::Unattended-Upgrade.
- Введён процесс ручных обновлений с периодичностью и ответственными.
- Настроены оповещения о критических обновлениях и резервное копирование перед крупными обновлениями.
Похожие материалы
RDP: полный гид по настройке и безопасности
Android как клавиатура и трекпад для Windows
Советы и приёмы для работы с PDF
Calibration в Lightroom Classic: как и когда использовать
Отключить Siri Suggestions на iPhone