2.5 系统更新

新部署的 Ubuntu 服务器在投入生产环境前，必须执行首次全量更新，以同步安全补丁、关键漏洞修复及基础组件升级。此举是构建可信运行环境的必要前提，可显著降低已知 CVE 风险暴露面，并确保系统符合组织安全策略与等保/ISO 27001 等合规要求。

[1] 执行标准更新流程

Ubuntu 使用 APT（Advanced Package Tool）作为默认包管理器，更新操作分为两步：

● 同步软件源元数据（`apt update`）：刷新本地软件包索引，获取各仓库（如 `noble-security`、`noble-updates`）中最新可用版本信息；

● 应用软件包升级（`apt upgrade`）：仅升级已安装软件包至其当前稳定分支中的最新版本，不更改依赖关系或引入新软件包（即“保守升级”模式）。

示例操作如下：

```bash

# 步骤一：更新本地软件包索引

root@localhost:~# apt update

Hit:1 http://security.ubuntu.com/ubuntu noble-security InRelease

Hit:2 http://archive.ubuntu.com/ubuntu noble InRelease

Get:3 http://archive.ubuntu.com/ubuntu noble-updates InRelease [89.7 kB]

Hit:4 http://archive.ubuntu.com/ubuntu noble-backports InRelease

Fetched 89.7 kB in 2s (39.0 kB/s)

Reading package lists... Done

Building dependency tree... Done

Reading state information... Done

All packages are up to date.

# 步骤二：执行非破坏性升级（推荐用于生产环境）

root@localhost:~# apt -y upgrade

Reading package lists... Done

Building dependency tree... Done

Reading state information... Done

Calculating upgrade... Done

0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

```

说明：若输出显示 “All packages are up to date” 及 “0 upgraded”，表明系统已处于最新状态；若存在待升级包，`apt -y upgrade` 将自动完成下载、校验与安装全过程。