Comment configurer un miroir apt qui ne reçoit que des mises à jour de sécurité?

Je maintiens quelques dizaines de serveurs exécutant tous Lucid. De toute façon, installer un miroir local est probablement une bonne idée, mais j'ai aussi un besoin unique.

Les serveurs (d'instance ec2) sont tous configurés pour obtenir des mises à jour de sécurité uniquement . C'est comme ça que je le veux. Le problème est que lorsque je crée une nouvelle instance de serveur/ec2 et que je télécharge des packages, ceux-ci sont complètement à jour et désynchronisés par rapport au reste du cluster. Je peux utiliser Chef pour épingler des versions de paquetages explicites, mais des mises à jour mineures rendront tout ce que nous épinglerons indisponible.

Donc ce que j'aimerais faire est ceci ... Je veux un miroir apt qui reflète le dépôt Lucid, mais seulement obtient des mises à jour de sécurité, pas des mises à jour régulières. Ensuite, en pointant tous mes serveurs vers ce miroir, je peux tout faire fonctionner avec la même version, mais aussi éviter les mises à jour inutiles.

Configurer un miroir lui-même avec apt-mirror semble assez simple, mais ce qui me manque, c'est comment s'assurer que le miroir ne fait que de la sécurité. Comment configurer un miroir apt qui récupère et diffuse uniquement les mises à jour de sécurité? J'ai l'impression qu'il me manque quelque chose d'évident.