Часто возникает необходимость обновить систему только из security-репозитариев, так чтобы поправить критичные уязвимости, но в тоже время не затронуть основную часть софта, обновление которого может потребовать дополнительного тестирования всей системы. Одним из способов удобного обновления пакетов только из security-репозитариев является явное указание списка источников, из которых брать пакеты.
На практике это работает следующим образом. Обычно security-ветки уже есть в /etc/apt/sources.list. Мы на основе его создадим отдельный файл, в который поместим только ветки безопасности:
cd /etc/apt cp sources.list sources.list.d/security.list
Далее из первого файла удалим security-источники, а во втором только их и оставим. Если в исходном файле нет security-источников совсем, тогда просто добавляем их в новый файл /etc/apt/sources.list.d/security.list. Нужны будут security-ветки для нужных репозитариев, обычно это stable.
Далее можно обновлять пакеты или все или из только из списка безопасности. В последнем случае это делается так:
apt-get update apt-get upgrade -o Dir::Etc::SourceList=/etc/apt/conf.d/security.list
Таким образом можно своевременно фиксить критичные уязвимости, но при этом не рисковать обновлением всего ПО.