Unattended-upgrades ne met rien à jour

jhfra · Janvier 29, 2021, 11:37am

Hello,
Je viens de me rendre compte que unattended-upgrade ne mettait plus rien à jour en automatique sur mes serveurs, ce qui m’embête vraiment.

Je souhaite que seules les maj du canal sécurité soient passées automatiquement, mais là, rien ne passe. Je suis en debian 10 et voici mes fichiers de conf :

/etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Origins-Pattern {
        "origin=Debian,codename=stable,label=Debian-Security";
};
Unattended-Upgrade::Package-Blacklist {
        "grub*";
};
Unattended-Upgrade::Automatic-Reboot "false";

/etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

/etc/apt/apt.conf.d/02periodic

APT::Periodic::Enable "1";
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Verbose "1";
APT::Periodic::RandomSleep "1800";

qu’est-ce qui ne va pas ? Merci !

grandtoubab · Janvier 29, 2021, 1:22pm

Que se passe-t-il en lancement par commande?
Quel est l’état du timer?
Voir le wiki

jhfra · Janvier 29, 2021, 2:15pm

unattended-upgrade -d

Initial blacklist : grub*
Initial whitelist:
Starting unattended upgrades script
Allowed origins are: origin=Debian,codename=stable,label=Debian-Security
Using (^linux-image-[0-9]+.[0-9.]±.|^linux-headers-[0-9]+.[0-9.]±.|^linux-image-extra-[0-9]+.[0-9.]±.|^linux-modules-[0-9]+.[0-9.]±.|^linux-modules-extra-[0-9]+.[0-9.]±.|^linux-signed-image-[0-9]+.[0-9.]±.|^linux-image-unsigned-[0-9]+.[0-9.]±.|^kfreebsd-image-[0-9]+.[0-9.]±.|^kfreebsd-headers-[0-9]+.[0-9.]±.|^gnumach-image-[0-9]+.[0-9.]±.|^.-modules-[0-9]+.[0-9.]±.|^.-kernel-[0-9]+.[0-9.]±.|^linux-backports-modules-.-[0-9]+.[0-9.]±.|^linux-modules-.-[0-9]+.[0-9.]±.|^linux-tools-[0-9]+.[0-9.]±.|^linux-cloud-tools-[0-9]+.[0-9.]±.|^linux-buildinfo-[0-9]+.[0-9.]±.|^linux-source-[0-9]+.[0-9.]±.) regexp to find kernel packages
Using (^linux-image-4.19.0-13-amd64$|^linux-headers-4.19.0-13-amd64$|^linux-image-extra-4.19.0-13-amd64$|^linux-modules-4.19.0-13-amd64$|^linux-modules-extra-4.19.0-13-amd64$|^linux-signed-image-4.19.0-13-amd64$|^linux-image-unsigned-4.19.0-13-amd64$|^kfreebsd-image-4.19.0-13-amd64$|^kfreebsd-headers-4.19.0-13-amd64$|^gnumach-image-4.19.0-13-amd64$|^.-modules-4.19.0-13-amd64$|^.-kernel-4.19.0-13-amd64$|^linux-backports-modules-.-4.19.0-13-amd64$|^linux-modules-.-4.19.0-13-amd64$|^linux-tools-4.19.0-13-amd64$|^linux-cloud-tools-4.19.0-13-amd64$|^linux-buildinfo-4.19.0-13-amd64$|^linux-source-4.19.0-13-amd64$) regexp to find running kernel packages
Checking: jicofo ([<Origin component:’’ archive:‹ stable › origin:‹ jitsi.org › label:‹ Jitsi Debian packages repository › site:‹ download.jitsi.org › isTrusted:True>])
Checking: jitsi-meet ([<Origin component:’’ archive:‹ stable › origin:‹ jitsi.org › label:‹ Jitsi Debian packages repository › site:‹ download.jitsi.org › isTrusted:True>])
Checking: jitsi-meet-prosody ([<Origin component:’’ archive:‹ stable › origin:‹ jitsi.org › label:‹ Jitsi Debian packages repository › site:‹ download.jitsi.org › isTrusted:True>])
Checking: jitsi-meet-turnserver ([<Origin component:’’ archive:‹ stable › origin:‹ jitsi.org › label:‹ Jitsi Debian packages repository › site:‹ download.jitsi.org › isTrusted:True>])
Checking: jitsi-meet-web ([<Origin component:’’ archive:‹ stable › origin:‹ jitsi.org › label:‹ Jitsi Debian packages repository › site:‹ download.jitsi.org › isTrusted:True>])
Checking: jitsi-meet-web-config ([<Origin component:’’ archive:‹ stable › origin:‹ jitsi.org › label:‹ Jitsi Debian packages repository › site:‹ download.jitsi.org › isTrusted:True>])
Checking: jitsi-videobridge2 ([<Origin component:’’ archive:‹ stable › origin:‹ jitsi.org › label:‹ Jitsi Debian packages repository › site:‹ download.jitsi.org › isTrusted:True>])
pkgs that look like they should be upgraded:
Fetched 0 B in 0s (0 B/s)
fetch.run() result: 0
blacklist: [‹ grub* ›]
whitelist: []
No packages found that can be upgraded unattended and no pending auto-removals
Extracting content from /var/log/unattended-upgrades/unattended-upgrades-dpkg.log since 2021-01-29 15:12:55

systemctl status apt-daily.timer

● apt-daily.timer - Daily apt download activities
Loaded: loaded (/lib/systemd/system/apt-daily.timer; enabled; vendor preset: enabled)
Active: active (waiting) since Sat 2020-12-19 11:23:18 CET; 1 months 10 days ago
Trigger: Fri 2021-01-29 15:22:38 CET; 8min left

systemctl status apt-daily-upgrade.timer

● apt-daily-upgrade.timer - Daily apt upgrade and clean activities
Loaded: loaded (/lib/systemd/system/apt-daily-upgrade.timer; enabled; vendor preset: enabled)
Active: active (waiting) since Sat 2020-12-19 11:23:18 CET; 1 months 10 days ago
Trigger: Sat 2021-01-30 06:21:19 CET; 15h left

grandtoubab · Janvier 29, 2021, 2:24pm

Rien à faire

No packages found that can be upgraded unattended

Trigger: Fri 2021-01-29 15:22:38 CET; 8min left
prochain passage demain matin
Trigger: Sat 2021-01-30 06:21:19 CET; 15h left

Je ne vois pas de problème.

jhfra · Janvier 29, 2021, 2:38pm

Ce qui me surprend, c’est que depuis que mes VM tournent, et là pour cette conf, on a maintenant quasi plus d’un an de prod, je n’ai jamais vu passer une seule mise à jour de sécurité en automatique sur Debian.
Alors que sur ubuntu, j’en ai encore vu passer une cette nuit (la faille sudo). Alors je sais qu’Ubuntu fait tourner bien plus rapidement ses packages, mais pour Debian je suis vraiment surpris de ne rien voir passer.

Après c’est peut-être normal, mais il me semble qu’avec mon setup en Debian 9, j’avais des maj de sécurité bien plus régulièrement (toujours en stable).

Comment je pourrais retrouver une trace de la dernière maj de sécu passée ? Car je m’y prends peut-être mal pour retrouver un historique là-dessus.

anon70622873 · Janvier 29, 2021, 3:09pm

Tu devrais mettre :

Unattended-Upgrade::Mail "toto@example.com";
Unattended-Upgrade::MailReport "on-change";

Comme cela tu recevras un courriel à chaque fois qu’un changement a lieu.

Tu peux aussi retrouver les dernières mises à jour dans /var/log/apt/history.log

jhfra · Janvier 29, 2021, 3:34pm

Mon problème était peut-être là, merci, je corrige ça !

Merci à tous les deux @anon70622873 et @grandtoubab

grandtoubab · Janvier 29, 2021, 6:34pm

Je suis en Debian 11 Bullseye mais je conserve le dépot security buster par précaution donc la situation n’est pas exactement comparable. Voici ce que j’ai en paquets buster -security

apt list --installed | grep /stable

firefox-esr/stable,now 78.7.0esr-1~deb10u1 amd64  [installé]
linux-compiler-gcc-8-x86/stable,now 4.19.152-1 amd64  [installé, automatique]
linux-headers-4.19.0-12-amd64/stable,now 4.19.152-1 amd64  [installé, automatique]
linux-headers-4.19.0-12-common/stable,stable,now 4.19.152-1 all  [installé, automatique]
linux-image-4.19.0-12-amd64/stable,now 4.19.152-1 amd64  [installé, automatique]
linux-kbuild-4.19/stable,now 4.19.152-1 amd64  [installé]

 apt policy firefox-esr
firefox-esr:
  Installé : 78.7.0esr-1~deb10u1
  Candidat : 78.7.0esr-1~deb10u1
 Table de version :
     78.7.0esr-1 500
        500 https://cdn-aws.deb.debian.org/debian sid/main amd64 Packages
 *** 78.7.0esr-1~deb10u1 990
        990 https://cdn-aws.deb.debian.org/debian-security buster/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     78.6.1esr-1 990
        990 https://cdn-aws.deb.debian.org/debian bullseye/main amd64 Packages