Projet

Général

Profil

Actions

Demande #5021

fermé

Installer le paquet unattended-upgrade sur le SI April ?

Ajouté par Christian P. Momon il y a presque 4 ans. Mis à jour il y a plus de 3 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
Christian P. Momon
Catégorie:
-
Version cible:
Début:
12/12/2020
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
2 Facile

Description

Sur Freenode#april-admin, le 12/12/2020 :

10:05 < PoluX> cpm_screen, QGuLL: je m'apperçois que la vm spip n'est pas à jour de sécu; unattended-upgrade n'y est pas installé, j'ai suivi la doc d'install et ne l'a vu nulle part
10:05 -!- pascontent[28] is now known as pascontent[30]
10:05 < PoluX> (du coup je l'ajoute)
10:06 < PoluX> du coup questionnement : je pensais que c'était partout désormais, ou bien je me plante ?
10:51 < cpm_screen> je confirme que le paquet unattented-upgrades n'a jamais été installé sur le SI April
10:51 < cpm_screen> c'est une différence entre SI April et SI Chapril

Question : est-il pertinent d'installer le paquet unattended sur le SI April ?

Mis à jour par Christian P. Momon il y a presque 4 ans

Confirmation que le paquet unattended-upgrade n'est pas déployé sur le SI April :

cpm@ocmstar (11:23:31) ~/Dossiers/April/Adminsys/git/admin/scripts 20 > ./do.sh "dpkg -l |grep unatt" 
===== bastion =====
===== admin =====
===== dns =====
===== mail =====
===== sympa =====
===== adl =====
===== lamp =====
===== agir =====
===== bots =====
===== dtc =====
===== drupal6 =====
===== republique-numerique =====
===== mumble =====
===== candidatsfr =====
===== pad =====
===== scm =====
===== pouet =====
===== webchat =====
===== cms-dev =====
===== spip =====
ii  unattended-upgrades                  1.11.2                       all          automatic installation of security upgrades
===== virola.april.org =====
===== calamus.april.org =====
===== galanga.april.org =====

Mis à jour par Christian P. Momon il y a presque 4 ans

Le retour d'expérience du SI Chapril, c'est que rares sont les mises à jour non suivies d'un needrestart.
Du coup, à l'exploitation :
  • unattended est le plus souvent inutile puisqu'il y a un restart manuel à faire de toute façon ;
  • gênant car l'adminsys est obligé d'aller voir dans /var/log/apt/history quels paquets sont concernés pour évaluer les impacts sur les services ;
  • potentiellement problématique pour les services qu'il pourrait perturber.

Cela étant dit, même rare, une mise à jour de sécurité sans needrestart nécessaire, l'appliquée aussi vite que possible est potentiellement toujours une bonne chose.

À vos avis…

Mis à jour par Christian P. Momon il y a presque 4 ans

Sur Freenode#april-admin, le 12/12/2020 :

11:33 < cpm_screen> olasd: si tu lis tout ça, huhu, ton avis est le bienvenu bien sûr ;D
11:43 < olasd> suffit de mettre needrestart derrière unattended-upgrades
11:47 < cpm_screen> olasd: needrestart en mode auto ? 
11:48 < cpm_screen> en même temps, manuellement, on ne fait pas vraiment plus que ça
11:48 < cpm_screen> y aura que pour le kernel que ça marchera pas mais bon là de toute façon…
11:50 < cpm_screen> et aussi pour les machines physiques mais pas bloquant

Mis à jour par Christian P. Momon il y a presque 4 ans

  • Statut changé de Nouveau à Attente d'information
  • Assigné à mis à Christian P. Momon

Mis à jour par Christian P. Momon il y a presque 4 ans

Ne pas faire de needrestart auto pour les services visio, Mumble et pad car ça peut couper des sessions en cours.

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Statut changé de Attente d'information à Fermé

ne semble pas d'actualité, on monitore les paquets en attente
nécessite needrestart en automatique + conf à faire des services non redémarrables

Actions

Formats disponibles : Atom PDF