Bonjour,
Après plusieurs recherches, parfois indirectes, au sujet des mises à jour des serveurs Debian 7, j'ai l'impression que malgré les lectures et mises en places de divers outils de mises à jours auto ou manuelles, les serveurs Debian ne sont pas à jour si on ne rajoute pas un processus supplémentaire qui est très bien caché !!
En effet, malgré du unattended-upgrade et apticron, envoi de mail de rapport réguliers, suivi via aptitude,... je me suis rendu compte que la plupart de nos serveurs ne sont pas réellement à jour !!!
En effet, il faut parfois rebooter par exemple, c'est le cas connu de la mise à jour kernel en effet.
Mais aussi relancer un service concerné par une mise à jour, directement ou indirectement (une nouvelle conf, une lib associée,..).
Et là, dans les processus de mises à jour : aucune mention ou avertissement !
Dans les docs officielles ou reconnues (comme le debian handbook) : aucune mention ou référence !
=> faites un aptitude upgrade ou full-upgrade et votre système est à jour !
FAUX !!!
C'est vraiment désolant pour une distrib avec un tel niveau de qualité général.
Cas pratique : un serveur Debian 7 non rebooté depuis 6 mois, mais ayant des maj régulières.
Dernière mise à jour ntp : avril 2015
Vérification du process ntpd : lancé le 30/05/2015
=> devrait être à jour...
Pourtant je découvre vraiment par hasard au fond d'un blog perso un outils : checkrestart, censé dire s'il faut rebooter pour mise à jour kernel et aussi les services et process en cours.
Je teste pour rigoler et là paf ! /usr/sbin/ntpd obsolète, faites un /etc/init.d/ntp restart !
????????????? kézako ?
Et il y en a d'autres comme ça, ssh, nrpe,....
Bref en fait je déploie sur tous les serveurs, et je me rends compte que la plupart du parc info n'est en fait pas à jour malgré des updates effectués !
Merci Debian...
Suggestions pour l'équipe Debian : intégrer PAR DEFAUT ces outils dans aptitude et apt-get et afficher un message clair en fin d'update, du genre : reboot nécessaire et liste des services nécessaires à relancer pour prendre en compte les mises à jour ! ça serait un minimum...
Et aussi préciser ce point très important dans les documentations de maintenance de serveur et chapitres aptitude/apt-get
Pour info, le debian-goodies (qui contient checkrestart) n'est même pas dans les paquets recommandés ou suggérés de aptitude ! Faut vraiment le chercher pour le trouver !
En espérant que ça s'améliore,
David
PS : sous Debian 8 checkrestart semble remplacé par needrestart de ce que j'ai lu.