Deia l'Àlex: > La meva experiència és que unattended-upgrades funciona bé en > Debian estables i Ubuntus LTS sobre les actualitzacions de > seguretat. La meva experiència també és aquesta, tot i que en alguns casos he patit problemes amb Ubuntu perquè l'actualització de seguretat també incorporava canvis no relacionats i que no eren compatibles (els paquets en qüestió eren dels lxc). Hi ha més risc que passi això com més vella sigui la LTS (que va ser el cas del problema amb el lxc: van portar una versió corregida d'una LTS més nova a una de més vella). Suposo que de vegades no és trivial resoldre un problema de seguretat en versions antigues i cal forçar un canvi més gran i amb l'u-u no veus els avisos corresponents. Però em sembla recordar que si instal·les apt-listchanges els avisos s'envien també per correu a root. També cal tenir en compte que els que fem paquets també ens equivoquem de vegades... En qualsevol cas, la clau està en el número de servidors a gestionar i de com de crític siguin els seus serveis. Si en tens un número prou gran no pots fer les actualitzacions manualment de cap de les maneres i has de buscar altres estratègies (només els de seguretat, només alguns paquets, congelar versions, tenir imatges pròpies i refer-les regularment, alertes dels paquets disponibles, monitoritzar els serveis, tenir una bateria de tests per assegurar que funcionen, etc.). També val a dir que de vegades u-u no pot actualitzar algun paquet pel motiu que sigui i cal fer-ho manualment. Quan això ha passat m'ha funcionat molt bé utilitzar dsh per executar la mateixa ordre a un grup de servidors. També recordo que m'havien parlat molt bé del apt-dater, però no l'he provat. > Jo també soc dels que m'agrada instal.lar a mà actualitzacions, > però les meves circumstàcies són que a casa treballo amb Debian > Testing, on un cop a l'any alguna actualització pot posar el meu > sistema a fer una mica el ruc. Jo treballo amb estable per l'escriptori i unstable per a fer els paquets. En tots dos casos actualitzo a mà per estar al cas dels canvis que es fan i per no perdre'm els detalls. > Altres cops les circumstàcies han estat instal.lar un servei > amb Debian estable a algún lloc on no el podria administrar, > i allà no veig millor solució que emprar unattended-upgrades. Als ordinadors que he configurat a d'altra gent també els poso actualitzacions automàtiques i en la mitja dotzena de servidors que administro tinc configurat els u-u de seguretat perquè no puc dedicar el temps necessari per fer-ho manualment. En aquests casos utilitzo eines com logwatch i apt-listchanges per estar al cas del que va passant. Al final es tracta de triar on hom vol invertir el seu temps. Salut, Alex -- ⢀⣴⠾⠻⢶⣦⠀ ⣾⠁⢠⠒⠀⣿⡁ Alex Muntada <alexm@debian.org> ⢿⡄⠘⠷⠚⠋ Debian Developer 🍥 log.alexm.org ⠈⠳⣄⠀⠀⠀⠀
Attachment:
signature.asc
Description: PGP signature