Как настроить зеркало apt, которое получает только обновления безопасности?

Я поддерживаю несколько десятков серверов, на которых работает Lucid. Настройка локального зеркала - это, вероятно, хорошая идея, но у меня также есть уникальная потребность.

Серверы (ec2 instance) настроены на получение обновлений безопасности. Вот как я этого хочу. Проблема заключается в том, что при создании нового экземпляра сервера / ec2 и загрузки пакетов эти пакеты полностью текут и не синхронизируются с остальной частью кластера. Я могу использовать шеф-повар, чтобы вызывать явные версии пакетов, но тогда небольшие обновления сделают все, что мы свяжем, недоступными.

Итак, что бы я хотел сделать, так это ... Я хочу зеркало, отражающее Lucid репозиторий, но только получает обновления безопасности, а не обычные. Затем, указав все мои серверы на это зеркало, я могу сохранить все, что работает с той же версией, но также избегать ненужных обновлений.

Настройка самого зеркала с apt-mirror кажется достаточно простой, но то, что я отсутствует, как убедиться, что зеркало только делает безопасность. Как настроить зеркало apt, которое только получает и распространяет обновления безопасности? Я чувствую, что мне не хватает чего-то очевидного.