Debian-facile

germain84

Membre

Inscription : 07-09-2018

Unattended Upgrade

Bonjour à tous,

Je ne sais pas si je suis dans le bonne catégorie car ma problématique est entre système et gestion des paquets.

Je possède une centaine de serveur debian (majoritairement de la 8.x). Afin de corriger les vulnérabilités sur ces serveurs j'ai mis en place la solution unattaneded_upgrade.

Le fichier /etc/apt/apt.conf.d/50unattended-upgrades a été personnalisé comme ceci pour ne patcher que sur la base du channel security

//   ${distro_codename}      Installed codename (eg, "jessie")
Unattended-Upgrade::Origins-Pattern {
        // Codename based matching:
        // This will follow the migration of a release through different
        // archives (e.g. from testing to stable and later oldstable).
//      "o=Debian,n=jessie";
//      "o=Debian,n=jessie-updates";
//      "o=Debian,n=jessie-proposed-updates";
//      "o=Debian,n=jessie,l=Debian-Security";

        // Archive or Suite based matching:
        // Note that this will silently match a different release after
        // migration to the specified archive (e.g. testing becomes the
        // new stable).
//      "o=Debian,a=stable";
//      "o=Debian,a=stable-updates";
//      "o=Debian,a=proposed-updates";
[b]        "origin=Debian,codename=${distro_codename},label=Debian-Security";[/b]
};

// List of packages to not update (regexp are supported)
Unattended-Upgrade::Package-Blacklist {
        "grub";
//      "vim";
//      "libc6";
//      "libc6-dev";
//      "libc6-i686";
};

Aujourd’hui la machine qui possède cette conf est une debian 8.8 patchée toutes les semaines.

Cependant malgré ça elle possède toujours des failles (exemple [SECURITY] [DSA 4187-1] linux security update). // je pense parcque son kernel n'est pas à jour ....

Ma question est :
- est'il possible de n'activer que les update security et les update de kernel associé (8.8 => 8.9)

Cependant je ne souhaite pas que les paquets de mes applications internes version de php, nginx ne soit upgradé pour limiter l'impact fonctionnel sur mes applications.

Merci bien

En esperant avoir été assez clair et précis

PS : De plus avez vous des retours d'expérience sur les bonnes pratique en terme d'update sur les débian

Dernière modification par germain84 (07-09-2018 15:06:41)

Invité-X

Invité

Re : Unattended Upgrade

Hmhmhm

ppourquoi ne pas fait un apticron  pour etre avertis des majs.
et d'ensuite faire un pssh , pour lancer tes commandes de maj sur tous les serveurs?

comme ça, tu controle tout.

germain84

Membre

Inscription : 07-09-2018

Re : Unattended Upgrade

Hmhmhm

ppourquoi ne pas fait un apticron  pour etre avertis des majs.
et d'ensuite faire un pssh , pour lancer tes commandes de maj sur tous les serveurs?

comme ça, tu controle tout.

Salut celp,

Merci pour ta réaction.
En fait le but est d'avoir un système entièrement autonome, nous avons déjà un ordonnanceur qui chaque mardi snapshot les VM et balance un unattended-upgrade -d sur chaque VM.

Invité-X

Invité

Re : Unattended Upgrade

ouais sinon joue sur pinning.

pour eviter la casse.
mais je ne vois pas trop.