Aujourd’hui, un petit billet technique parce qu’il fait beau et que ce serait dommage de rester devant l’ordi trop longtemps. Le sujet : les mises à jour de sécurité automatiques sous les dérivés de Debian.
Si les aficionados des rolling-release et autres distributions mises à jour très régulièrement ne commencent jamais une journée derrière leur PC sans avoir machinalement fait un update et un upgrade, pour ceux qui aiment les distributions stables, la mise à jour des paquets peut être plus aléatoire et s’espacer de plusieurs semaines, voire de mois, et je ne parle même pas du PC que vous avez installé chez un membre de votre famille.
Certaines distributions ou gestionnaires de bureau intègrent d’office un système de mise à jour qui nous rappelle les jours heureux passés sous Windows, mais ce n’est pas le cas pour tous les environnements et cela s’applique aussi au serveur sur lequel on auto-héberge des services mais qu’on aime oublier quand tout tourne comme il faut.
Pourtant, comme on le sait tous, la clé d’un système sécurisé passe en premier lieu par un système à jour sur lequel les dernières failles découvertes auront été patchées. D’où les mises à jour de sécurité. Mais rien de folichon pour l’utilisateur, cela n’apportera aucune nouveauté, ne corrigera aucun bug et n’apportera pas la dernière killer-feature. Ça ne fera que colmater d’éventuelles brèches et ça doit être fait au plus tôt.
Alors, comme je trouve cela moyennement passionnant, que ces mises à jour sur versions stables sont testées et quasi sans risque pour la stabilité du système et que j’ai plusieurs systèmes à maintenir à jour, je laisse l’ordi faire ça tout seul grâce à unattented-upgrades.
Pour ceux qui veulent mettre ça en place sans se casser la tête, voici les deux commandes à lancer :
sudo apt install unattended-upgrades apt-listchanges
sudo dpkg-reconfigure -plow unattended-upgrades
Et voilà, par défaut, les mises à jour de sécurité seront faites automatiquement chaque jour s’il y en a.
Pour aller voir si des mises à jour ont été faites et sur quels paquets, tout est tracé dans /var/log/apt/history.log mais il y a aussi moyen d’envoyer un mail à root (ou un autre user) en allant modifier les fichiers de conf. Il est aussi possible de faire d’autres mises à jour que celles de sécurité ou blacklister des paquets à ne pas mettre à jour. Pour les détails techniques, tout est dans la doc de Debian ainsi que dans ce billet didactique.
Je retourne profiter du temps estival.
1 De Krapace -
Il existe aussi apt-cron : https://debian-administration.org/a...
2 De SebastienP -
Bonsoir et merci pour l'info.
Par contre, après la commande ' sudo dpkg-reconfigure -plow unattended-upgrades', on valide par Oui à la question posée et après y'a un champ à remplir. On est censé laissé tel quel ou pas ?
De plus, j'ai un message pas facile à comprendre pour moi: "update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults"
Qu'est-ce que ça peut bien vouloir dire ?
3 De SebastienP -
OK j'ai rien dit j'ai trouvé la réponse ailleurs. Il est tard, ça m'apprendra à faire le flemmard alors que la réponse était toute proche.
Merci encore pour cette manip' en tout cas !
4 De gwado -
Merci, ça va m'aider pour mon serveur, entre autres.
5 De SpF -
En fait, @Krapace, apt-cron envoie un mail quand il y a une mise à jour (ou même si il n'y en a pas). C'est très pratique, mais ça ne règle pas le souci de devoir faire la maj de sécurité. Quand je reçois un mail pour une petite maj de sécu, ça me gonfle un peu de devoir me connecter à mon/mes serveur(s) pour ça (ouais, je suis flemmard :P ).
Unattented-upgrades est finalement un bon complément à apt-cron. Donc merci alter de m'avoir rappelé que je devais le tester depuis longtemps ;)