Ubuntu 8.04 (Hardy): Como automaticamente apt-get / aptitude pacotes de atualização para bugs / segurança?

1

Eu tenho um laboratório cheio de estações de trabalho rodando o Ubuntu 8.04 (Hardy Heron). Meus antecessores fizeram um pouco de script cron para atualizar, atualizar e limpar diariamente. Eu gosto do fato de que isso requer atenção zero, mas quero ficar o mais próximo possível dos métodos suportados por distro, para que os futuros administradores possam encontrá-lo e entendê-lo facilmente. Especificamente, parece que há infra-estrutura no Ubuntu para fazer isso de forma mais limpa, então prefiro usar isso em vez disso. O que isso implica?

Esta pergunta foi inspirada por este , que tem uma resposta decente, mas dispersa. Qual é o resultado final, baseado na documentação?

    
por Phil Miller 03.09.2009 / 01:55

3 respostas

4

Esta resposta é baseada na leitura dos seguintes arquivos:

/etc/cron.daily/apt
/etc/apt/apt.conf.d/10periodic
/etc/apt/apt.conf.d/50unattended-upgrades
/usr/share/doc/unattended-upgrades/README

que fazem parte dos pacotes (incluindo unattended-upgrades e update-notifier-common ) incluídos na instalação padrão do Ubuntu. Existem outras ferramentas disponíveis na distribuição que podem atingir os mesmos fins, como apticron e cron-apt .

No arquivo /etc/apt/apt.conf.d/10periodic , adicione uma linha

APT::Periodic::Unattended-Upgrade "1";

Isso configura os scripts periódicos do Apt para executar uma atualização automática todos os dias. Por um intervalo maior, aumente o 1 para um número maior. Um 0 para esta variável significaria 'desativado'.

Em conjunto, a linha autoclean deve ser ativada substituindo 0 there:

APT::Periodic::AutocleanInterval "1";

Por padrão, o Ubuntu 8.04 configura somente atualizações automáticas do arquivo hardy-security . Isso cobrirá você contra vulnerabilidades de segurança, mas não para liberações gerais de correção de bugs. Para isso, você precisa ativar o hardy-updates archive em /etc/apt/apt.conf.d/50unattended-upgrades :

// Uncomment the line that reads as follows:
        "Ubuntu hardy-updates";

As especificações do Ubuntu para este recurso aparecem em uma página wiki . Note que os sistemas Debian parecem ter a mesma infra-estrutura exata, aparentemente deste recurso migrando para o upstream.

    
por 03.09.2009 / 01:55
3

Embora seja mais do que possível atualizar automaticamente um sistema Debian ou Ubuntu usando a solução que o Novelocrat sugeriu ou usando algo como apticron ou cronapt, tenho que questionar o quão sensato isso é. Isso foi mencionado na pergunta à qual você ligou, mas é preciso decidir se você se opõe ao tempo de inatividade que pode acontecer quando os serviços são reiniciados automaticamente quando são atualizados. Muitas vezes, quanto mais pacotes estão sendo atualizados, mais tempo o seu serviço pode ficar inativo. Isso ocorre porque os pacotes interromperam o serviço incorretamente antes de serem instalados e, em seguida, iniciá-lo novamente, depois de instalado. Muitos pacotes para a coisa certa de apenas reiniciar quando o pacote foi instalado. Este pode ser um problema particular, por exemplo, o MySQL, onde o pacote Debian executará uma verificação de tabela quando for inicializado, e se você tiver um banco de dados grande, isso pode fazer com que suas tabelas sejam travadas até que seja finalizada. Upgrades automáticos também não dão a você a chance de verificar o pacote em busca de problemas.

O que fazemos é usar o Puppet para instalar 99% dos pacotes quando solicitados. Eu corro apticron em todos os servidores, e todas as manhãs, executo um script que lê esses e-mails, remove upgrades na lista negra, como MySQL, Tomcat e PostgreSQL, e atualiza o arquivo de manifesto com o nome do pacote e a versão. Quando esse manifesto é removido, ele atualiza esses pacotes. Nós, então, temos que fazer as listas na mão quando podemos ter tempo de inatividade.

    
por 03.09.2009 / 09:21
1

Não há necessidade de fazer nada complexo. Basta ir ao sistema > Administração > Gerenciador de Pacotes Synaptic > Configurações > Repositórios > Atualizações e selecione Instalar atualizações de segurança sem notificações.

É isso

    
por 03.09.2009 / 06:28