Bonjour tout le monde.
J’ai essayé de trouver des réponses à mes questions sur internet et sur le forum avant d’ouvrir ce post sans succès.
Au niveau de la sécurité et face à la grande quantité des serveurs à maintenir. J’ai testé unattended-upgrades sur un serveur de test (cloné à partir d’un serveur de production) mais uniquement pour l’actualisation des mises à jour de sécurité (Debian-Security).
Le résultat est plutôt bon, c’est à dire que le serveur comme attendu, reçoit régulièrement les mises à jour de sécurité et lors des scans de vulnérabilités en whitebox avec OpenVAS, je vois bien qu’au niveau des paquets il n’y plus du tout de faille de sécurité, contrairement au serveur de production pour lequel des failles apparaissent demandant l’actualisation des paquets.
Avant de généraliser l’utilisation sur tous les serveurs j’aurais une question.
Je ne veux surtout pas que des paquets avec des actualisations autres que celles de sécurité viennent déstabiliser les applications des serveurs. A priori et d’après ce que j’ai pu observé, unatteded-upgrades gère bien ce côté.
Mais du coup j’ai quand-même un doute. Je m’explique:
Par exemple imaginons que sur un serveur j’ai un CMS qui me demande comme prérequis une certaine version de PHP imaginons la 7.3. Est-ce que je suis sûr qu’en actualisant uniquement et automatiquement les MAJ Debian-Security à travers unatteded-upgrades il n’y aura pas une monté de version de PHP en 7.4 ou pire 8.0 ?
J’ai mis comme exemple PHP mais ça pourrait très bien être un auotre paquet comme MariaDB ou Apache2.
J’espère avoir été clair avec mon explication .