Nunca gostei do apt-get upgrade porque não faz só as atualizações de segurança, tenta atualizar todos os pacotes possíveis, aí são 200MB pra baixar que não são necessariamente atualizações, mas novas versões de programas.

Procurei por muito tempo algum comando que desse pra escolher só o repositório do security.debian mas não achei ( se alguém souber avisa e não precisa ler o resto ).

Para fazer somente as atualizações de segurança eu editava o sources.list e deixava só a linha:
deb http://security.debian.org etch/updates main contrib
fazia o update, upgrade e voltava para o sources original.

Uma solução é usar o aptitude no modo gráfico, nele aparece logo na primeira linha as atualizações do security isoladas, basta selecionar e pronto. Mas não encontrei um comando pra fazer isso diretamente.

Então para utilizar o curso de shell que acabei de fazer no cdtc, http://comunidade.cdtc.org.br/ ( muito bom, conheçam ) que usa o material do site http://twiki.softwarelivre.org/bin/view/TWikiBar/WebHome , ( fantástico o Papo de Botequim ), fiz um scriptizinho que edita o sources, atualiza o sistema e depois volta o sources original, deve ser utilizado como root.
————

#!/bin/bash
#script para atualizar o sistema usando apenas o security

#copiar o sources.list original
mv /etc/apt/sources.list /etc/apt/original-sources.list

#criar novo sources só com o security
echo “deb http://security.debian.org etch/updates main contrib” >> /etc/apt/sources.list

#atualizar sistema
apt-get update
apt-get -u upgrade

#recuperar sources original
mv /etc/apt/original-sources.list /etc/apt/sources.list

———————

Só isso, mas resolve o meu problema e acho que de muitos que já vi postarem dúvidas sobre atualização do kurumin.

Dei uma viajada agora e acho que basicamente é isso que o ubuntu e outros como o Live-Update do resulinux fazem.

Só falta iniciar junto com o sistema e ficar com um íconezinho ( seria legal ressuscitar o ícone do pinguim índio de cocar que existia em versões anteriores do kurumin ) na bandeja do sistema que avise quando existem novas atualizações. Talvez incrementar com opção de só fazer download e instalar depois. E uma opção de fazer a atualização de programas para novas versões também, aí utilizando o sources completo.

Ou do jeito que está acho que cabe no Clica-aKi, nos ícones mágicos, abaixo de Atualizar scripts dos ícones mágicos há um espaço que seria perfeito para isso.

Local onde pode entrar o script