Alguns blocos de construção para realizar isso:
Você pode configurar um repositório privado (ou múltiplos) com reprepro, disciplinar como este repositório é atualizado e usá-lo como o único apt-source para seus servidores.
apt leva packagename = version argumentos e instalará a versão exata solicitada. O chamado "pinning" é outra maneira de reforçar isso.
Uma vez que você pode especificar as versões exatas, existem várias maneiras de garantir sua meta final - por exemplo, analisando as versões instaladas em um sistema "master" em uma determinada data do dpkg -l (não se confunda com as versões sendo truncadas na saída de terminal simples, eles não serão canalizados ou redirecionados para um arquivo).
Além disso, certifique-se de não começar de uma posição em que qualquer coisa no sistema de destino seja mais recente do que você deseja - isso tende a convidar todos os tipos de atrito com dependências e scripts postinst / preinst.
Não desanime pela multidão "Versões mais atuais ou você é um perdedor" - essas pessoas tendem a ser competentes o suficiente para saber por que as versões atuais têm benefícios de segurança, mas ainda não entendem coisas como processos de controle de qualidade ou riscos gestão.