apt-get upgrade retém uma atualização do kernel. Quais são as instruções oficiais para aplicar atualizações no Debian 9?

3

Eu vi o seguinte no Debian 9 "stretch":

# apt-get upgrade
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
The following packages have been kept back:
  linux-image-marvell
0 upgraded, 0 newly installed, 0 to remove and 1 not upgraded.

Uma atualização não é instalada, apesar de este comando ser uma maneira oficial de atualizar o Debian de acordo com o " Protegendo o Manual Debian ". (Instantâneo no momento da leitura de aqui ).

Por outro lado, o comando aptitude e o comando mais recente apt estão preparados para instalá-lo. Dito isso, essa versão específica não é uma atualização de segurança. Eu entendo que apt e potencialmente aptitude têm padrões diferentes. Eu gostaria de perguntar quão deliberado este comportamento por parte do Debian ...

O Securing Debian Manual lista aptitude primeiro, ao descrever como aplicar as atualizações. E eu sei que apt tem alguns padrões alterados que devem ser mais fáceis de usar. Analisando cuidadosamente o atual Guia de Instalação Debian, ele está apontando novos usuários para apt ou aptitude . Acho que todos os comandos de exemplo agora fazem referência a apt , não apt-get .

Minha suposição inicial é que as atualizações do security para o kernel não seriam retidas por um método de atualização endossado pelo Manual de Segurança Debian. (Deixe-me saber se eu assumir erroneamente :-). Mas quero ter certeza de que entendo como atualizar meu sistema Debian.

Perguntas

  1. Se eu quiser obter os padrões que o Debian moderno está configurando para novos usuários, estou sendo recomendado treinar meus dedos para digitar apt em vez de apt-get . Certo?
  2. O Guia de Instalação anterior (para o Debian 8) faz referência a apt-get , assim como a documentação para atualização do Debian 8 para o Debian 9. Então, muito amplamente, eu acho que a opção mais segura é não usar apt antes do Debian 8 - > Transição do Debian 9?
  3. Existe um caso ou casos amplamente conhecidos que você gostaria de sugerir que eu esteja atento, onde a solução atual é usar apt-get para alguma tarefa?
  4. O Debian tem algum comentário sobre a escolha de tornar apt mais ansioso para aplicar atualizações, o que confirma especificamente que há distinção de segurança e atualizações não relacionadas à segurança?
  5. Em um ângulo ligeiramente diferente, há alguma informação sobre a escolha do Debian em organizar uma atualização do kernel (não relacionada à segurança) como essa, que evita que eles sejam aplicados com a configuração normal usada por apt-get no meu sistema?

Detalhes desta atualização

# apt-cache policy linux-image-marvell
linux-image-marvell:
  Installed: 4.9+80+deb9u4                                             
  Candidate: 4.9+80+deb9u5      
  Version table:                     
     4.9+80+deb9u5 500
        500 http://ftp.uk.debian.org/debian stretch/main armel Packages
 *** 4.9+80+deb9u4 500
        500 http://security.debian.org stretch/updates/main armel Packages
        100 /var/lib/dpkg/status

Versão do "apt-get" usada

# apt-cache policy apt
apt:
  Installed: 1.4.8
  Candidate: 1.4.8
...

Comportamento diferente com diferentes métodos de atualização

# aptitude upgrade
Resolving dependencies...                
The following NEW packages will be installed:
  linux-image-4.9.0-7-marvell{a}
The following packages will be upgraded:
  linux-image-marvell
1 packages upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 0 B/21.9 MB of archives. After unpacking 91.2 MB will be used.
Do you want to continue? [Y/n/?] n
Abort.

# apt upgrade
Reading package lists... Done
Building dependency tree        
Reading state information... Done
Calculating upgrade... Done
The following NEW packages will be installed:
  linux-image-4.9.0-7-marvell
The following packages will be upgraded:
  linux-image-marvell
1 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 0 B/21.9 MB of archives.
After this operation, 91.2 MB of additional disk space will be used.
Do you want to continue? [Y/n] n
Abort.
    
por sourcejedi 19.07.2018 / 23:46

1 resposta

6

Primeiro, vou começar explicando o comportamento que você está vendo. Por padrão, apt-get é muito conservador e não instalará novos pacotes ao executar upgrade , apenas dist-upgrade (isso pode ser alterado com a opção --with-new-pkgs ). apt , por outro lado, (ele ativa a opção APT::Get::Upgrade-Allow-New por padrão), assim como aptitude (que tem um algoritmo de resolução diferente de qualquer forma). Como o kernel passou por um bump da ABI, atualizá-lo envolve a instalação de um novo pacote ...

Note também que, estritamente falando, você não está recebendo esta atualização do kernel como uma correção de segurança, mas como parte do release de 9,5 pontos do último final de semana. Isso não está aqui nem lá, já que as prioridades são as mesmas. (Você já está ciente disso, eu menciono isso para outros leitores.) Atualizações de segurança para o kernel podem envolver impactos da ABI , então esta situação pode surgir com atualizações de segurança, bem como atualizações de liberação pontual; a distinção, no que diz respeito aos pacotes do kernel no Debian, é principalmente de oportunidade e tempo, já que todas as atualizações do kernel são atualizações de segurança de qualquer maneira.

Agora, responda suas perguntas:

  1. apt agora é o front-end de APT recomendado, sim, pelo menos para uso interativo; é suposto ter padrões mais amigáveis ao usuário (em comparação com apt-get ). Ambas as ferramentas usam os mesmos algoritmos e apt-get pode ser configurado para se comportar como apt ; execute apt-config dump | grep Binary::apt para ver as configurações específicas que apt habilita. Se você preferir aptitude , pode continuar usando isso também.

  2. No Debian 8, até onde eu sei, apt é exatamente equivalente a apt-get , então você pode usá-lo também; apt veio à tona com o Debian 9 seguindo o trabalho de seus desenvolvedores para torná-lo mais útil como uma ferramenta voltada para o usuário. A FAQ do Debian sugere o uso de apt em vez de apt-get e apt-cache começando com Debian 8 (Jessie). (Vejo que a descrição de apt update está um pouco errada).

  3. A recomendação atual é evitar apt em scripts, pois sua interface pode mudar. Além disso, não deve haver nenhum cenário em que você precise apt-get em vez de apt .

  4. apt não faz distinção entre atualizações de segurança e não relacionadas a segurança, a menos que você as configure para fazer isso.

  5. Não tenho certeza se é uma decisão consciente ... A última atualização do Securing Debian Manual é bem mais antiga que a do Debian 9. Note que, ao usar apt-get , a FAQ do Debian se refere a apt-get dist-upgrade para manter um sistema Debian atualizado. O FAQ também é mais antigo que o Debian 9, mas foi atualizado mais recentemente.

por 20.07.2018 / 01:24