대상 OS: Debian 12 (bookworm)
패치를 “가끔 생각나면” 하는 순간 보안은 지연됩니다. Debian에서는 APT 도구만으로도 업데이트 예정 목록, 어떤 저장소에서 오는지(정책), 보안 업데이트가 포함되는지를 빠르게 확인할 수 있습니다. 이 글은 운영/보안 관점에서 APT로 “현재 상태를 빨리 파악”하는 루틴을 정리합니다.
0) 전제: ‘업데이트 확인’과 ‘업데이트 적용’은 분리하자
- 확인: 자주(매일/주기적으로) — 영향도 없음
- 적용: 점검 창구/절차에 따라 — 영향 가능(서비스 재시작, ABI 변경 등)
먼저 확인 습관을 만들면, 적용은 계획적으로 가져갈 수 있습니다.
1) 목록 갱신: apt update는 ‘현황 파악’의 시작
1) 패키지 인덱스 갱신
sudo apt update
2) “보안 저장소가 정상 동작하는지” 메시지를 눈으로 확인
# update 출력에서 security 관련 저장소가 에러 없이 갱신되는지 확인
# 예: bookworm-security
2) 업그레이드 대상 빠른 확인: upgradable 목록 보기
1) 업그레이드 대상 패키지 나열
apt list --upgradable
2) “중요한 것부터” 보고 싶다면 필터링
# 예: openssl, openssh, systemd 등 핵심만 먼저 보기
apt list --upgradable 2>/dev/null | egrep -i 'openssl|openssh|ssh|systemd|glibc|linux-image|sudo'
3) 적용 시뮬레이션(실제 설치 없이 영향 범위 파악)
# 업그레이드 시 어떤 패키지가 설치/업그레이드/제거될지 미리 보기
sudo apt -s upgrade
3) 저장소/정책 확인: “어디에서 오는 패키지인지”가 보안이다
업데이트가 “있다/없다”만 보면 부족합니다. 그 업데이트가 어떤 저장소(예: security)에서 오는지를 확인해야, 보안 패치가 정상적으로 공급되고 있는지 판단할 수 있습니다.
1) 전체 정책(우선순위/출처) 확인
apt-cache policy | sed -n '1,160p'
2) 특정 패키지의 후보 버전/출처 확인
# 예: openssl이 어떤 저장소에서 어떤 버전으로 제공되는지
apt-cache policy openssl
3) 실제 APT 소스 파일 확인(관리 포인트)
# Debian 12는 /etc/apt/sources.list 대신 /etc/apt/sources.list.d/*.sources 를 쓰는 경우가 흔함
ls -la /etc/apt/sources.list /etc/apt/sources.list.d 2>/dev/null
# 활성 소스 확인
grep -R "^deb" -n /etc/apt/sources.list /etc/apt/sources.list.d 2>/dev/null || true
grep -R "URIs\|Suites\|Components" -n /etc/apt/sources.list.d/*.sources 2>/dev/null || true
4) ‘보안 업데이트’만 빠르게 의식하는 방법(운영 루틴)
Debian에서 보안 업데이트는 보통 *-security 저장소로 들어옵니다. 다음을 주기적으로 확인하면 “보안 업데이트 파이프가 막혔는지”를 빨리 감지할 수 있습니다.
1) 최근 변경/업데이트 이벤트(apt history) 확인
# 어떤 패키지가 언제 업그레이드되었는지
grep -E "upgrade |install |remove " -n /var/log/dpkg.log | tail -n 80
2) 보안 업데이트 자동화가 있는지(선택) 확인
# unattended-upgrades 사용 여부(설치되어 있다면)
dpkg -l | grep -E '^ii\s+unattended-upgrades\s'
# 최근 자동 적용 로그(설치된 경우)
ls -la /var/log/unattended-upgrades 2>/dev/null || true
5) 실전 체크리스트(최소)
sudo apt update가 security 저장소 포함해 정상 성공하는가?apt list --upgradable에서 핵심 패키지 업데이트가 누적되고 있지 않은가?apt-cache policy로 “출처”가 기대대로인가(원치 않는 저장소/우선순위가 섞이지 않았는가)?- 업데이트 적용은 점검 창구에서 계획적으로 하는가(서비스 영향 평가 포함)?
- 이 글은 ai가 random적으로 만들어 올리는 글입니다. -