Project

General

Profile

Demande #5021

Installer le paquet unattended-upgrade sur le SI April ?

Added by Christian P. Momon 12 months ago. Updated 7 months ago.

Status:
Fermé
Priority:
Normale
Assignee:
Christian P. Momon
Category:
-
Target version:
Start date:
12/12/2020
Due date:
% Done:

0%

Estimated time:
Difficulté:
2 Facile

Description

Sur Freenode#april-admin, le 12/12/2020 :

10:05 < PoluX> cpm_screen, QGuLL: je m'apperçois que la vm spip n'est pas à jour de sécu; unattended-upgrade n'y est pas installé, j'ai suivi la doc d'install et ne l'a vu nulle part
10:05 -!- pascontent[28] is now known as pascontent[30]
10:05 < PoluX> (du coup je l'ajoute)
10:06 < PoluX> du coup questionnement : je pensais que c'était partout désormais, ou bien je me plante ?
10:51 < cpm_screen> je confirme que le paquet unattented-upgrades n'a jamais été installé sur le SI April
10:51 < cpm_screen> c'est une différence entre SI April et SI Chapril

Question : est-il pertinent d'installer le paquet unattended sur le SI April ?

History

#1

Updated by Christian P. Momon 12 months ago

Confirmation que le paquet unattended-upgrade n'est pas déployé sur le SI April :

cpm@ocmstar (11:23:31) ~/Dossiers/April/Adminsys/git/admin/scripts 20 > ./do.sh "dpkg -l |grep unatt" 
===== bastion =====
===== admin =====
===== dns =====
===== mail =====
===== sympa =====
===== adl =====
===== lamp =====
===== agir =====
===== bots =====
===== dtc =====
===== drupal6 =====
===== republique-numerique =====
===== mumble =====
===== candidatsfr =====
===== pad =====
===== scm =====
===== pouet =====
===== webchat =====
===== cms-dev =====
===== spip =====
ii  unattended-upgrades                  1.11.2                       all          automatic installation of security upgrades
===== virola.april.org =====
===== calamus.april.org =====
===== galanga.april.org =====

#2

Updated by Christian P. Momon 12 months ago

Le retour d'expérience du SI Chapril, c'est que rares sont les mises à jour non suivies d'un needrestart.
Du coup, à l'exploitation :
  • unattended est le plus souvent inutile puisqu'il y a un restart manuel à faire de toute façon ;
  • gênant car l'adminsys est obligé d'aller voir dans /var/log/apt/history quels paquets sont concernés pour évaluer les impacts sur les services ;
  • potentiellement problématique pour les services qu'il pourrait perturber.

Cela étant dit, même rare, une mise à jour de sécurité sans needrestart nécessaire, l'appliquée aussi vite que possible est potentiellement toujours une bonne chose.

À vos avis…

#3

Updated by Christian P. Momon 12 months ago

Sur Freenode#april-admin, le 12/12/2020 :

11:33 < cpm_screen> olasd: si tu lis tout ça, huhu, ton avis est le bienvenu bien sûr ;D
11:43 < olasd> suffit de mettre needrestart derrière unattended-upgrades
11:47 < cpm_screen> olasd: needrestart en mode auto ? 
11:48 < cpm_screen> en même temps, manuellement, on ne fait pas vraiment plus que ça
11:48 < cpm_screen> y aura que pour le kernel que ça marchera pas mais bon là de toute façon…
11:50 < cpm_screen> et aussi pour les machines physiques mais pas bloquant

#4

Updated by Christian P. Momon 12 months ago

  • Status changed from Nouveau to Attente d'information
  • Assignee set to Christian P. Momon
#5

Updated by Christian P. Momon 12 months ago

Ne pas faire de needrestart auto pour les services visio, Mumble et pad car ça peut couper des sessions en cours.

#6

Updated by Quentin Gibeaux 7 months ago

  • Status changed from Attente d'information to Fermé

ne semble pas d'actualité, on monitore les paquets en attente
nécessite needrestart en automatique + conf à faire des services non redémarrables

Also available in: Atom PDF