Hoj,
pokud nejsi limitovan tim, co instalovat, tak jsem to resil pres balik unattended-upgrades, ktery by si mel sahnout na cestu /var/run/reboot-required (respektive to tak pres Ansible resim doted).
Dalsi HC moznost je sledevat, zda se instaluji baliky, ktere vyzaduji restartovat masinu, tech bude par (kernel/kernel-devel, glibc, systemd... a asi par dalsich), coz jde pres Ansible vychytat taky