Pembaruan Otomatis

Ben Cotton, Petr Bokoc, Jean-Baptiste Holcroft Versi all Last review: 2025

Anda harus memutuskan apakah akan menggunakan pembaruan otomatis DNF pada setiap mesin Anda. Ada sejumlah argumen yang mendukung dan menentang pembaruan otomatis untuk dipertimbangkan. Namun, tidak ada jawaban tunggal untuk pertanyaan ini: tergantung pada administrator sistem atau pemilik setiap mesin untuk memutuskan apakah pembaruan otomatis diinginkan atau tidak untuk mesin tersebut. Salah satu hal yang membuat seseorang menjadi administrator sistem yang baik adalah kemampuan untuk mengevaluasi fakta dan saran orang lain, dan kemudian memutuskan sendiri apa yang harus dilakukan.

Aturan umum yang berlaku dalam banyak kasus adalah sebagai berikut:

Jika mesin adalah server yang penting, yang mana waktu henti layanan yang tidak direncanakan pada mesin tidak dapat ditoleransi, maka Anda tidak boleh menggunakan pembaruan otomatis. Jika tidak, Anda dapat memilih untuk menggunakannya.

Bahkan aturan umum di atas memiliki pengecualian, atau dapat disiasati. Beberapa masalah mungkin dapat diselesaikan melalui pengaturan khusus dari pihak Anda. Sebagai contoh, Anda dapat membuat repositori DNF Anda sendiri di server lokal, dan hanya memasukkan pembaruan yang telah teruji atau tepercaya. Kemudian gunakan pembaruan otomatis hanya dari repositori Anda sendiri. Penyiapan seperti itu, meskipun mungkin lebih sulit untuk disiapkan dan dipelihara, dapat menghilangkan sejumlah besar risiko yang melekat pada pembaruan otomatis.

Bagaimana pembaruan otomatis dilakukan?

Anda dapat menggunakan layanan untuk mengunduh dan menginstal pembaruan baru secara otomatis (misalnya pembaruan keamanan).

Paket RPM dnf-automatic sebagai komponen DNF menyediakan layanan yang dimulai secara otomatis.

Instalasi dan pengaturan dnf-automatic

Pada instalasi baru Fedora dengan opsi default, RPM dnf-automatic tidak diinstal. Perintah pertama di bawah ini akan menginstal RPM ini:

sudo dnf install dnf-automatic

Secara default, dnf-automatic berjalan dari konfigurasi di dalam berkas /etc/dnf/automatic.conf. Konfigurasi ini hanya unduh, tetapi tidak menerapkan paket apa pun. Untuk mengubah atau menambahkan konfigurasi, buka berkas .conf sebagai pengguna root (atau menggunakan sudo) dari jendela terminal.

sudo nano /etc/dnf/automatic.conf

Modifikasi pada automatic.conf untuk mengunduh semua pembaruan, menerapkannya, dan melakukan boot ulang:

[commands]
apply_updates=True
reboot=when-needed

Hapus opsi reboot=when-needed untuk melakukan reboot secara manual. Penjelasan lengkap dan rinci tentang pengaturan dnf-automatic tersedia di halaman dnf-automatic.

Jalankan dnf-automatic

Setelah Anda selesai dengan konfigurasi, jalankan:

systemctl enable --now dnf-automatic.timer

untuk mengaktifkan dan memulai timer systemd.

Periksa status dnf-automatic:

systemctl status dnf-automatic.timer

Catatan: pengatur waktu yang telah dikonfigurasi sebelumnya seperti automatic-download.timer, automatic-install.timer dan automatic-notifyonly.timer digabungkan ke dalam dnf-automatic.timer untuk versi di atas Fedora 40 dengan peralihan ke dnf5. Untuk perintah penggantinya, lihat bagian opsi pada dokumentasi dnf hulu.

Bisakah kita mempercayai pembaruan DNF?

Dnf di Fedora memiliki pengecekan kunci GPG yang diaktifkan secara default. Dengan asumsi bahwa Anda telah mengimpor kunci GPG yang benar, dan masih memiliki gpgcheck=1 di /etc/dnf/dnf.conf Anda, maka setidaknya kita dapat mengasumsikan bahwa setiap pembaruan yang diinstal secara otomatis tidak rusak atau dimodifikasi dari kondisi aslinya. Dengan menggunakan pemeriksaan kunci GPG, tidak ada cara bagi penyerang untuk membuat paket yang akan diterima oleh sistem Anda sebagai valid (kecuali jika mereka memiliki salinan kunci private yang sesuai dengan kunci yang Anda diinstal) dan kerusakan data apa pun saat unduh akan tertangkap.

Namun, pertanyaan tersebut juga berlaku untuk pertanyaan tentang kualitas pembaruan. Apakah instalasi paket akan menyebabkan masalah pada sistem Anda? Hal ini tidak dapat kami jawab. Setiap paket telah melalui proses QA, dan diasumsikan bebas dari masalah. Namun, masalah bisa saja terjadi, dan QA tidak dapat menguji semua kasus yang mungkin terjadi. Selalu ada kemungkinan bahwa setiap pembaruan dapat menyebabkan masalah selama atau setelah instalasi.

Mengapa menggunakan pembaruan otomatis?

Keuntungan utama dari mengotomatiskan pembaruan adalah bahwa mesin-mesin akan diperbarui lebih cepat, lebih sering, dan lebih seragam daripada jika pembaruan dilakukan secara manual. Kami melihat terlalu banyak mesin yang disusupi di internet yang seharusnya aman jika pembaruan terbaru diinstal tepat waktu.

Jadi, meskipun Anda tetap harus berhati-hati dengan solusi pembaruan otomatis apa pun, khususnya pada sistem produksi, solusi ini layak dipertimbangkan, setidaknya dalam beberapa situasi.

Alasan menggunakan pembaruan otomatis

Meskipun tidak ada yang dapat menentukan untuk Anda apakah mesin Anda merupakan kandidat yang baik untuk pembaruan otomatis, ada beberapa hal yang cenderung membuat mesin menjadi kandidat yang lebih baik untuk pembaruan otomatis.

Beberapa hal yang mungkin membuat mesin Anda menjadi kandidat yang baik untuk pembaruan otomatis adalah:

  • Anda tidak mungkin menerapkan pembaruan secara manual untuk alasan apa pun.

  • Mesin ini tidak kritis dan sesekali waktu henti yang tidak direncanakan dapat diterima.

  • Anda dapat hidup tanpa akses jarak jauh ke mesin sampai Anda dapat mencapai lokasi fisiknya untuk menyelesaikan masalah.

  • Anda tidak memiliki data yang tidak tergantikan pada mesin, atau memiliki cadangan yang tepat untuk data tersebut.

Jika semua hal di atas berlaku pada mesin Anda, maka pembaruan otomatis mungkin merupakan pilihan terbaik untuk membantu mengamankan mesin Anda. Jika tidak semua hal di atas berlaku, maka Anda perlu mempertimbangkan risikonya dan memutuskan sendiri apakah pembaruan otomatis adalah cara terbaik untuk melanjutkan.

Alasan yang menentang penggunaan pembaruan otomatis

Meskipun tidak ada yang dapat menentukan apakah mesin Anda merupakan kandidat yang buruk untuk pembaruan otomatis, ada beberapa hal yang cenderung membuat mesin menjadi kandidat yang lebih buruk untuk pembaruan otomatis.

Beberapa hal yang mungkin membuat mesin Anda menjadi kandidat yang buruk untuk pembaruan otomatis adalah:

  • Ini menyediakan layanan penting yang tidak ingin Anda ambil risiko mengalami waktu henti yang tidak terjadwal.

  • Anda menginstal perangkat lunak khusus, mengkompilasi perangkat lunak dari sumbernya, atau menggunakan perangkat lunak pihak ketiga yang memiliki persyaratan versi paket yang ketat.

  • Anda menginstal kernel kustom, modul kernel kustom, modul kernel pihak ketiga, atau memiliki aplikasi pihak ketiga yang bergantung pada versi kernel (hal ini mungkin tidak menjadi masalah jika Anda mengecualikan pembaruan kernel, yang merupakan standar dalam berkas dnf.conf Fedora). (Lihat juga bug #870790 - Anda mungkin perlu memodifikasi bagian dasar untuk menambahkan exclude=kernel*.)

  • Lingkungan Anda memerlukan prosedur pengendalian perubahan yang cermat.

  • Anda memperbarui dari repositori DNF pihak ketiga lainnya selain repositori Fedora yang mungkin bertentangan dengan skema versi untuk paket yang sama.

Ada juga beberapa alasan lain mengapa menginstal pembaruan otomatis tanpa pengujian mungkin merupakan ide yang buruk. Beberapa alasan tersebut adalah:

  • Perlunya mencadangkan berkas konfigurasi Anda sebelum melakukan pembaruan. Bahkan berkas spesifikasi paket yang terbaik pun dapat memiliki kesalahan. Jika Anda telah memodifikasi berkas yang tidak ditandai sebagai berkas konfigurasi, maka Anda mungkin akan kehilangan perubahan konfigurasi Anda. Atau sebuah update mungkin memiliki format berkas konfigurasi yang berbeda, sehingga memerlukan konfigurasi ulang secara manual. Sebaiknya buatlah cadangan berkas konfigurasi Anda sebelum melakukan update pada paket-paket penting seperti paket mail, web, atau database server.

  • Efek samping yang tidak diinginkan. Beberapa paket dapat menimbulkan efek samping yang mengganggu, terutama paket yang memiliki pekerjaan cron. Pembaruan pada paket-paket dasar seperti openssl, openldap, sql server, dan lain-lain dapat berdampak pada banyak paket lain yang tampaknya tidak terkait.

  • Bug. Banyak paket berisi perangkat lunak atau skrip instalasi yang bermasalah. Pembaruan dapat menimbulkan masalah selama atau setelah instalasi. Bahkan bug kosmetik, seperti yang ditemukan pada pembaruan Mozilla sebelumnya yang menyebabkan ikon pengguna terhapus atau rusak, dapat mengganggu atau bermasalah.

  • Pembaruan otomatis mungkin tidak menyelesaikan seluruh proses yang diperlukan untuk membuat sistem menjadi aman. Sebagai contoh, DNF dapat menginstal pembaruan kernel, tetapi sampai mesin di-boot ulang (yang tidak akan dilakukan oleh DNF secara otomatis), perubahan yang baru tidak akan berlaku. Hal yang sama juga berlaku untuk memulai ulang daemon. Hal ini dapat membuat pengguna merasa bahwa dia sudah aman, padahal tidak.

Praktik terbaik saat menggunakan pembaruan otomatis

Jika Anda memutuskan untuk menggunakan pembaruan otomatis, setidaknya Anda harus melakukan beberapa hal untuk memastikan bahwa Anda sudah diperbarui.

Periksa pembaruan paket yang telah dilakukan secara otomatis, dan catat jika perlu intervensi lebih lanjut (manual). Anda dapat memantau apa yang telah diperbarui oleh DNF melalui berkas lognya (biasanya /var/log/dnf.log).

Anda dapat memonitor ketersediaan pembaruan secara otomatis melalui email setelah memodifikasi berkas konfigurasi dnf-automatic (biasanya /etc/dnf/automatic.conf).

[emitters]
emit_via = E-Mail

[email]
# The address to send email messages from.
email_from = root@localhost.com

# List of addresses to send messages to.
email_to = root

# Name of the host to connect to to send email messages.
email_host = localhost

Anda akan mengganti root dengan alamat surel yang sebenarnya yang Anda inginkan untuk mengirim laporan, dan localhost dengan alamat server SMTP yang sebenarnya. Perubahan ini akan berarti bahwa setelah dnf-automatic berjalan, ia akan mengirim email kepada Anda informasi tentang update yang tersedia, log tentang paket yang unduh, atau update yang diinstal sesuai dengan pengaturan di automatic.conf.

Metode alternatif

Sebagai alternatif dari dnf-automatic, auter dapat digunakan. Ini beroperasi dengan cara yang mirip dengan dnf-automatic, tetapi menyediakan lebih banyak fleksibilitas dalam penjadwalan, dan beberapa opsi tambahan termasuk menjalankan skrip khusus sebelum atau sesudah pembaruan, dan reboot otomatis. Hal ini mengorbankan lebih banyak kerumitan untuk dikonfigurasi.

sudo dnf install auter

Anda kemudian harus mengedit konfigurasinya. Deskripsi opsi terdapat dalam berkas conf /etc/auter/auter.conf.

Auter tidak dijadwalkan secara default. Tambahkan jadwal untuk --prep (jika Anda ingin mengunduh pembaruan sebelum mengunduh) dan --apply (menginstal pembaruan). Tugas cron diinstal yang dapat Anda lihat pada /etc/cron.d/auter berisi banyak contoh.

Untuk membuat auter segera berjalan tanpa menunggu pekerjaan cron berjalan, misalnya untuk pengujian atau debugging, Anda cukup menjalankannya dari baris perintah:

auter --apply

Jika Anda ingin menonaktifkan auter agar tidak berjalan, termasuk dari pekerjaan cron:

auter --disable

Alternatif untuk pembaruan otomatis

Pemberitahuan

Alih-alih pembaruan otomatis, dnf-automatic hanya dapat mengunduh pembaruan baru dan dapat memberi tahu Anda melalui email tentang pembaruan yang tersedia yang kemudian dapat Anda instal secara manual. Hal ini dapat diatur dengan mengedit berkas /etc/dnf/automatic.conf.

Pembaruan penjadwalan

Masalah umum lainnya adalah menjalankan pembaruan otomatis pada waktu yang tidak diinginkan (hari libur, akhir pekan, liburan, dll). Jika ada saat-saat di mana tidak ada orang yang bisa memperbaiki masalah yang muncul dari pembaruan, mungkin lebih baik menghindari melakukan pembaruan pada hari-hari tersebut.

Masalah ini dapat diperbaiki dengan modifikasi timer dari dnf-automatic menggunakan deskripsi di halaman Memahami dan mengelola sistemd.

Metode perlindungan lainnya

Hal lain yang perlu dipertimbangkan jika tidak menggunakan pembaruan otomatis adalah menyediakan mesin Anda dengan beberapa bentuk perlindungan lain untuk membantu mempertahankannya dari serangan apa pun yang mungkin terjadi sebelum pembaruan dilakukan. Ini mungkin termasuk firewall eksternal, firewall berbasis host (seperti iptables, ipchains, dan/atau tcp wrappers), tidak melakukan tugas-tugas berbahaya di komputer (seperti menjelajah web, membaca email, dll.), dan memonitor sistem dari gangguan (dengan pemeriksa log sistem, sistem IDS, otentikasi atau pemantauan login, dll.).

Want to help? Learn how to contribute to Fedora Docs