Quali opzioni sono disponibili per un aggiornamento automatico sicuro

In base alla mia domanda precedente , quali opzioni apt devono essere utilizzate quando si aggiorna un pacchetto in modo che:

  • se altri pacchetti verrebbero rimossi a seguito dell'aggiornamento, l'apt si arresterà senza toccare nulla
  • se nuovi pacchetti sarebbero stati installati a seguito dell'aggiornamento e non causerebbero alcun conflitto o rimozione, apt li avrebbe installati
  • se altri pacchetti sarebbero stati aggiornati, preferirei fermarsi

Grazie in anticipo per qualsiasi aiuto

  • dnsmasq legge / etc / hosts, ma non lo usa
  • Aggiorna openssl in compressione debian
  • Jetty JMX per l'accesso remoto
  • Comando: sposta tutti i file all'interno di una directory in un'altra directory (inclusi i file nascosti)?
  • Conflitti con i file di configuration PAM durante l'aggiornamento del sistema
  • Come registrare gli indirizzi IP che cercano di connettersi a una port?
  • Quanto è importnte la gestione dei patch?
  • DNS - Qualsiasi modo per forzare un nameserver per aggiornare il record di un dominio?
  • Come determinare se un aggiornamento Debian ha aggiornato il kernel
  • Come le aziende gestiscono la necessità di requisiti Java diversi per lo stesso utente?
  • yum update, come fare il pacchetto rpm aggiornabile
  • Gestione del software di aggiornamento automatico di Windows in pacchetti distribuiti da GPO
  • One Solution collect form web for “Quali opzioni sono disponibili per un aggiornamento automatico sicuro”

    Ho fatto alcune ricerche sulle pagine dell'uomo, in particolare man apt.conf e l' man apt-get , e man apt.conf trovato le seguenti. Per favore commenta se pensi di aver dimenticato niente.

    • utilizzare l'opzione – --only-upgrade o impostare l'object di configuration APT::Get::Only-Upgrade su true
    • apt item di configuration APT::Get::force-yes impostato su false
    • utilizzare l'opzione – --no-remove o impostare l'object di configuration APT::Get::Remove to false

    Non sono sicuro che --trivial-only / APT::Get::Trivial-Only aiuta qui, ha bisogno di indagare meglio.

    Con l' aptitude , i pezzi rilevanti sembrano essere:

    • utilizzando il command safe-upgrade con l'opzione --no-new-installs
    • set Aptitude::Delete-Unused a false, in modo che i pacchetti non utilizzati non vengano rimossi automaticamente (potrei non essere d'accordo con l'attitudine riguardo a ciò che è inutilizzato …)
    • aggiungendo -R / --without-recommends può aiutare, ha bisogno di ulteriori indagini

    Aggiornamento Ho fatto alcuni test su un vecchio sistema:

     # grep ^Ubuntu /etc/motd Ubuntu 10.04.4 LTS 

    apt-get sembra più cauto e il risultato non differisce da un normale apt-get upgrade apt-get -o APT::Get::Only-Upgrade=true --no-remove -o APT::Get::force-yes=false upgrade e da apt-get -o APT::Get::Only-Upgrade=true --no-remove -o APT::Get::force-yes=false upgrade .

    aptitude sembra più aggressiva e le "opzioni sicure" sembrano fare il loro lavoro. Aggiornamento standard (effettivamente esegue safe-upgrade )

     # aptitude -s -y upgrade W: The "upgrade" command is deprecated; use "safe-upgrade" instead. Lettura elenco dei pacchetti... Fatto Generazione tree delle dependencies Lettura informazioni sullo stato... Fatto Reading extended state information Initializing package states... Fatto Resolving dependencies... The following NEW packages will be installed: linux-image-2.6.32-55-generic-pae{a} The following packages will be upgraded: linux-generic-pae linux-image-generic-pae linux-image-server linux-libc-dev linux-server 5 packages upgraded, 1 newly installed, 0 to remove and 0 not upgraded. Need to get 0B/32.8MB of archives. After unpacking 98.2MB will be used. Would download/install/remove packages. 

    Ora con opzioni "sicure":

     # aptitude -s -y --no-new-installs -R -o Aptitude::Delete-Unused=false safe-upgrade Lettura elenco dei pacchetti... Fatto Generazione tree delle dependencies Lettura informazioni sullo stato... Fatto Reading extended state information Initializing package states... Fatto Resolving dependencies... The following packages have been kept back: linux-generic-pae linux-image-generic-pae The following packages will be upgraded: linux-image-server linux-libc-dev linux-server 3 packages upgraded, 0 newly installed, 0 to remove and 2 not upgraded. Need to get 0B/878kB of archives. After unpacking 0B will be used. Would download/install/remove packages. 

    Molto più simile a quello che volevo.

    Purtroppo, nessuno di entrambi i set sembra impedire l'installazione di nuovi pacchetti o altri pacchetti da aggiornare quando viene utilizzato con il command di install anziché l' upgrade / safe-upgrade , perciò sono un po 'tornato al quadrato: non riesco a trovare apt-get / aptitude per fermarsi quando avrebbe fatto un'operazione potenzialmente operativa paranoica-aleata. In un certo senso, ho una networking di sicurezza migliore, ma non mi impedisco di cadere.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.