Automatische Sicherheitsupdates unter Debian

Hat man wie ich einen, oder mehrere Server, so ist es wichtig, die Software darauf aktuell zu halten.
Auf einem Produktivserver z.B. möchte man die Systemstabilität nicht unnötig gefährden, deswegen sollte man nicht sämtliche Updates installieren, sondern nur das nötigste, nämlich Sicherheitsupdates.

Unter Debian kann ein ausschließliches Beziehen von Sicherheitsupdates dadurch erreicht werden, indem man nur Updates von der Paketquelle
deb http://security.debian.org/ jessie/updates main contrib non-free
in
/etc/apt/sources.list
bezieht.

Nun beziehen wir nur noch Sicherheitsupdates, jedoch nicht automatisch. Bei automatischen Updates ist die Gefahr durch eine ungeschlossene Sicherheitslücke und der Wahrscheinlichkeit, dass ein Update die Lauffähigkeit einer Applikation einschränkt, abzuwiegen. Bei wirklich kritischen Systemen würde ich deshalb die Kompatibilität der Sicherheitsupdates mit dem aktuellen Softwarestand zuerst auf einer anderen, nicht produktiv-Maschine testen.

Nichtsdestotrotz dürfte ein aktuelles System vorteilhafter sein, als ein veraltetes.
Das Paket unattended-upgrades kann, wie der Name schon vermuten lässt, Updates automatisch ausführen.
Egal, welche Paketquellen definiert wurden, es werden standardmäßig nur Sicherheitsupdates installiert.
Nach der Installation muss es noch konfiguriert werden, entweder mit
dpkg-reconfigure unattended-upgrades
oder
echo -e "APT::Periodic::Update-Package-Lists \"1\";\nAPT::Periodic::Unattended-Upgrade \"1\";\n" > /etc/apt/apt.conf.d/20auto-upgrades
unattended-upgrades -d # manuell ausführen


Nachfolgend könnte man sich jetzt schön zurücklehnen und entspannen, der Server wird ja optimal mit Updates versorgt.
Dem ist leider nicht so. Wenn beispielsweise eine Bibliothek aktualisiert wird, passiert das nur auf dem Dateisystem, was zur Folge hat, dass laufende Programme diese erst neu laden müssen, dementsprechend müssen diese neu gestartet werden.
checkrestart
aus debian-goodies zeigt an, welche Prozesse alte Versionen von aktualisierten Dateien benutzen.
Am Ende läuft es dann doch wieder auf das manuelle Einspielen von Updates hinaus?
Denn spätestens das nächste Kernel-Update erfordert einen Neustart...