Créer une liste de sources ne contenant que les dépôts indexant les mises à jour de sécurité:

grep security /etc/apt/sources.list | tee /etc/apt/security.sources.list

Pour n'installer que les correctifs de sécurité, utiliser la commande suivante utilisant la liste précédemment créée:

apt-get update
apt-get upgrade -o Dir::Etc::SourceList=/etc/apt/security.sources.list

On peut utiliser cron pour lancer périodiquement la mise à jour des définitions locales de paquets (resynchronisation des paquets avec les sources).

Pour s'assurer que la commande est bien exécutée périodiquement par cron, consulter les logs:

journalctl --since today --unit cron.service

• https://www.3cx.com/blog/voip-howto/os-security-updates-debian/