Demande #5021
fermé
Installer le paquet unattended-upgrade sur le SI April ?
Ajouté par Christian P. Momon il y a presque 4 ans.
Mis à jour il y a plus de 3 ans.
Assigné à:
Christian P. Momon
Description
Sur Freenode#april-admin, le 12/12/2020 :
10:05 < PoluX> cpm_screen, QGuLL: je m'apperçois que la vm spip n'est pas à jour de sécu; unattended-upgrade n'y est pas installé, j'ai suivi la doc d'install et ne l'a vu nulle part
10:05 -!- pascontent[28] is now known as pascontent[30]
10:05 < PoluX> (du coup je l'ajoute)
10:06 < PoluX> du coup questionnement : je pensais que c'était partout désormais, ou bien je me plante ?
10:51 < cpm_screen> je confirme que le paquet unattented-upgrades n'a jamais été installé sur le SI April
10:51 < cpm_screen> c'est une différence entre SI April et SI Chapril
Question : est-il pertinent d'installer le paquet unattended sur le SI April ?
Confirmation que le paquet unattended-upgrade n'est pas déployé sur le SI April :
cpm@ocmstar (11:23:31) ~/Dossiers/April/Adminsys/git/admin/scripts 20 > ./do.sh "dpkg -l |grep unatt"
===== bastion =====
===== admin =====
===== dns =====
===== mail =====
===== sympa =====
===== adl =====
===== lamp =====
===== agir =====
===== bots =====
===== dtc =====
===== drupal6 =====
===== republique-numerique =====
===== mumble =====
===== candidatsfr =====
===== pad =====
===== scm =====
===== pouet =====
===== webchat =====
===== cms-dev =====
===== spip =====
ii unattended-upgrades 1.11.2 all automatic installation of security upgrades
===== virola.april.org =====
===== calamus.april.org =====
===== galanga.april.org =====
Le retour d'expérience du SI Chapril, c'est que rares sont les mises à jour non suivies d'un needrestart.
Du coup, à l'exploitation :
- unattended est le plus souvent inutile puisqu'il y a un restart manuel à faire de toute façon ;
- gênant car l'adminsys est obligé d'aller voir dans /var/log/apt/history quels paquets sont concernés pour évaluer les impacts sur les services ;
- potentiellement problématique pour les services qu'il pourrait perturber.
Cela étant dit, même rare, une mise à jour de sécurité sans needrestart nécessaire, l'appliquée aussi vite que possible est potentiellement toujours une bonne chose.
À vos avis…
Sur Freenode#april-admin, le 12/12/2020 :
11:33 < cpm_screen> olasd: si tu lis tout ça, huhu, ton avis est le bienvenu bien sûr ;D
11:43 < olasd> suffit de mettre needrestart derrière unattended-upgrades
11:47 < cpm_screen> olasd: needrestart en mode auto ?
11:48 < cpm_screen> en même temps, manuellement, on ne fait pas vraiment plus que ça
11:48 < cpm_screen> y aura que pour le kernel que ça marchera pas mais bon là de toute façon…
11:50 < cpm_screen> et aussi pour les machines physiques mais pas bloquant
- Statut changé de Nouveau à Attente d'information
- Assigné à mis à Christian P. Momon
Ne pas faire de needrestart auto pour les services visio, Mumble et pad car ça peut couper des sessions en cours.
- Statut changé de Attente d'information à Fermé
ne semble pas d'actualité, on monitore les paquets en attente
nécessite needrestart en automatique + conf à faire des services non redémarrables
Formats disponibles : Atom
PDF