Bonjour,
Je souhaiterais automatiser les mises à jour de sécurité sur mon serveur tout en créant un fichier récapitulant les paquet installé.
J’ai trouvé ce lien mais il date de 2007 et la technique est peut être obsolète ?
Merci.
Cordialement.
Salut,
[quote]cron-apt Contains a tool that is run by a cron job at regular intervals. By default it just updates the package list and download new packages without installing. You can instruct it to run anything that you can do with apt-get (or aptitude).
It can optionally sends mail to the system administrator on errors, log to syslog or a separate log file.
Observe that this tool may be a security risk, so you should not set it to do more than necessary. Automatic upgrade of all packages is NOT recommended unless you are in full control of the package repository.[/quote]
C’est pour ça que je ne veux pas faire l’upgrade des tous les paquets mais juste de les mises à jour de sécurité. Il me semble avoir lu quelque part que parfois il fallait relancer certains services pour qu’il prennent en compte les mises à jour de sécurité. J’ai lu ça sur “Sécuriser sa debian”.
C’est toujours d’actualité ?
Et si tu ne mettais que le dépot security dans ton sources.list ?
Il existe aussi un paquet a installer qui se charge des mises à jour de sécu automatiquement, mais impossible de retrouver son nom.
Si la mise à jour de sécu touche le kernel, tu dois faire un reboot à la main pour la prendre en compte.
Pour les services, je pense que c’est au cas par cas, mais perso je réponds yes si le système me pose la question.
édit; j’ai retrouvé; c’est le paquet unattended-upgrades
Oui ça peut être une solution de mettre seulement que le source list security mais bon pas top si tu veux installer ou mettre à jour un autre paquet. Ok je vais voir le nom du logiciel que tu propose. Je posterai la solution que j’aurais choisi.
Merci de vos réponse.
Tu peux très bien laisser toutes les sources de dépôts et règler le fichiers des préférences d’APT.
Cherche sous les termes “preferences pinning apt”, ça devrait répondre à ton besoin.
C’est une mauvaise idée. Toutes les mises à jour de sécurité ne sont pas dans le dépôt security. Lors de la publication d’une révision mineure (“point release”), les nouvelles mises à jour dont certaines peuvent concerner la sécurité ne vont pas dans security mais dans le dépôt normal et les anciennes mises à jour de sécurité sont ensuite déplacées du dépôt security vers le dépôt normal après un certain temps.
Pourquoi cette politique ? Je trouve ça peu logique à vrai dire, mais il y a sûrement une bonne raison ?
Quelle politique ?
Le fait d’inclure certaines corrections de sécurité dans la révision suivante plutôt que de publier des mises à jour de sécurité ? Je ne sais pas, peut-être ce sont des failles considérées comme pas assez graves pour justifier une mise à jour immédiate. En tout cas en regardant la liste de la dernière révision stable 6.0.3 de Squeeze on en voit un certain nombre dans la section “Corrections de bogues divers”, par exemple :
apache2 Correction de CVE-2011-3348 : éventuel déni de service dans mod_proxy_ajp ; plusieurs corrections de documentation et script d'initialisation
aptitude Correction d'une attaque par lien symbolique dans l'éditeur de hiérarchie
atop Utilisation non sécurisée de fichiers temporaires
conky Correction d'une vulnérabilité d'écrasement de fichier
dokuwiki Correction de script intersite de RSS
drupal6 Correction de sécurité pour script intersite dans le module color
Etc.
Le fait de retirer les anciennes mises à jour du dépôt de sécurité ? Ce dépôt a pour but de fournir le plus rapidement possible les nouvelles mises à jour de sécurité au jour le jour, ce que le système des miroirs Debian ne garantit pas. Le dépôt de sécurité n’a pas pour vocation de conserver toutes les mises à jour de sécurité faites depuis la première publication de la version concernée. les anciennes mises à jour de sécurité sont incluses dans la révision suivante et se retrouvent donc dans le dépôt principal disponible sur les miroirs Debian. Il n’est donc plus nécessaire de les conserver dans le dépôt de sécurité.
C’est à ça que je faisais référence.
OK, merci pour l’explication, je comprends mieux 
Donc pour reprendre la citation du dernier post, une tache cron qui vérifie les mises à jour de sécurité tous les jours ou plusieurs fois par jour serait bon …
On peut même s’appuyer sur les deux liens suivant ?
blog.developpez.com/debiancare/p … omatiques/
blog.nozav.org/post/2007/01/12/6 … ous-debian