Voici ma procédure pour mettre à jour les updates de security seulement sur Debian.

Etape 1: installer le programme qui va gérer les updates de sécurité pour nous.

apt-get install unattended-upgrades

Configuration du programme:

nano /etc/apt/apt.conf.d/50unattended-upgrades

Uniquement les update de sécurité, mais on peut aussi rajouter des packages supplémentaires si on souhaite comme par exemple Apache.

"origin=Debian,archive=stable,label=Debian-Security";

On désactive aussi l’auto reboot automatic pour le serveur de production.

// List of packages to not update
Unattended-Upgrade::Package-Blacklist {
//      "vim";
//      "libc6";
//      "libc6-dev";
//      "libc6-i686";
};
// Automatically reboot *WITHOUT CONFIRMATION* if a
// the file /var/run/reboot-required is found after the upgrade
Unattended-Upgrade::Automatic-Reboot "false";

Configuration de l’email en cas de soucis:

Unattended-Upgrade::Mail "user@example.net";

Il faut aussi vérifier si le cron est en place pour la mise à jour via la commande:

cat /etc/crontab | grep cron.daily

Voici la commande pour vérifier si tout est en ordre:

unattended-upgrade -d --dry-run

Je me suis inspiré cet excellent article.