Inst libssl0.9.8 [0.9.8o-4] (0.9.8o-4squeeze1 Debian-Security:6.0/stable)
Inst openssl [0.9.8o-4] (0.9.8o-4squeeze1 Debian-Security:6.0/stable)
Et il y en a eu d’autres…
Pour faire les mises à jour de sécurité automatiquement, il n’a qu’à adapter à Squeeze les instructions de cette page : blog.developpez.com/debiancare/p … omatiques/
Une autre solution est d’utiliser le paquet debsecan.
Par exemple pour simuler les paquets ayant des failles corrigées dans squeeze :
aptitude -s install $(debsecan --suite squeeze --only-fixed --format packages)
Pour plus de détails voir :
enyo.de/fw/software/debsecan/
Certes, on peut aussi s’abonner à debian-security-announce@lists.debian.org, faire attention aux paquets qui nous concernent et ne pas confier la sécurité de son système à un script.
Quand on gère un parc de 200 machines je comprends qu’on cherche à automatiser mais quand on en a seulement quelques-unes…surtout qu’après MAJ du kernel (et il y en a eu plein sous lenny) on doit redémarrer la machine, je trouve ça moyen de laisser à un script le loisir de rebooter.
On peut également installer et configurer le paquet cron-apt.
Chaque nuit, il fait un update + full-upgrade -dy (download only).
Si des mises à jour sont présentes, il envoi un mail.
[quote=“antalgeek”]Certes, on peut aussi s’abonner à debian-security-announce@lists.debian.org, faire attention aux paquets qui nous concernent et ne pas confier la sécurité de son système à un script.
Quand on gère un parc de 200 machines je comprends qu’on cherche à automatiser mais quand on en a seulement quelques-unes…surtout qu’après MAJ du kernel (et il y en a eu plein sous lenny) on doit redémarrer la machine, je trouve ça moyen de laisser à un script le loisir de rebooter.[/quote]
Oui. Quelles que soient les mises à jour, rien ne vaut une simulation avant tout, ou du moins une étude de la liste des paquets à mettre à jour.
C’est un peu ce que j’ai avec ce script de simulation et un cron, qui m’envoie un mail quand une MAJ est dispo. Ensuite, à moi de juger si je fais ou pas.
#!/bin/sh
apt-get update >/dev/null; apt-get --simulate --quiet=2 upgrade | mail -e -s "MAJ sur SERVEUR" ricardo@xxxxxx.fr
Le plus sûr reste de créer une snapshot juste avant et de la restaurer en cas de problème, mais pour ça il faut btrfs, zfs ou lvm.
Ca vaut le coup sur une stable ça ?
Je serait curieux de savoir comment procèdent les admin qui gèrent des quantités de machines importantes, avec des distrib hétérogènes. Ca peut devenir rapidement un véritable casse-tête.
Ca vaut le coup sur une stable ça ?[/quote]
Oui parce que le coup est très faible en fait. Générer une snapshot en btrfs (j’ai pas fait l’experience avec les autres), c’est instantané, ça ne bouffe peu de place (ça dépend de la quantité d’information traitée par le serveur) et c’est local (pas de serveur de backup). Par contre je suis pas sûr mais peut être que tu es obligé de rebooter pour restaurer (c’est un moindre problème quand l’un de tes services ne répond plus).
sans allez jusqu’à un snapshot ou une image que de toute manière il est toujours bon d’avoir, sous réserve qu’elle soit récente, si la mise à jour porte sur un paquet critique on peut toujours utiliser
fakeroot -u dpkg-repack
en faisant porter dpkg-repack sur le paquet critique et dépendances.
Au pire ensuite si nécessaire un chroot et dpkg -i les debs construits par dpkg-repack.
Tout dépend de l’importance des paquets bien sûr.
Non, une snapshot ce n’est pas un backup ou alors il faut déplacer la snapshot sur un autre disque.
[quote=“cepcasa”]si la mise à jour porte sur un paquet critique on peut toujours utiliser
fakeroot -u dpkg-repack
en faisant porter dpkg-repack sur le paquet critique et dépendances.
Au pire ensuite si nécessaire un chroot et dpkg -i les debs construits par dpkg-repack.
Tout dépend de l’importance des paquets bien sûr.[/quote]
Créer une snapshot avec btrfs c’est une commande :
[quote=“MisterFreez”]
Créer une snapshot avec btrfs c’est une commande :
pas de problème, je suis btrfs. Mais là c’est une sauvegarde de test 
Il y a encore 2 maj de sécurité, “login” et “passwd”.
Et si ce soir les nuages changent de couleur, je prédis que d’autre MAJ de sécurité viendront dans l’avenir.
[quote=“antalgeek”]Quand on gère un parc de 200 machines je comprends qu’on cherche à automatiser mais quand on en a seulement quelques-unes…surtout qu’après MAJ du kernel (et il y en a eu plein sous lenny) on doit redémarrer la machine, je trouve ça moyen de laisser à un script le loisir de rebooter.[/quote]Le script tourne depuis quelques temps sur le PC d’une amie qui a une debian stable car elle n’a aucune envie d’apprendre quoi que soit lié à l’administration d’un système et je ne cotoie pas régulièrement son PC.
Elle reboote au moins une fois par jour et jusqu’à maintenant le script n’a pas posé de problème, sinon je pense que j’en aurais entendu parler …
Il peut y avoir - rarement certes - des mises à jour de la version stable qui nécessitent un dist-upgrade à cause de changements de dépendances, ce que ne fait pas ce script. Déjà vu pour le noyau et bind9 récemment.