Mettre à jour sans s'en occuper

Aujourd’hui, un petit billet technique parce qu’il fait beau et que ce serait dommage de rester devant l’ordi trop longtemps. Le sujet : les mises à jour de sécurité automatiques sous les dérivés de Debian.

Si les aficionados des rolling-release et autres distributions mises à jour très régulièrement ne commencent jamais une journée derrière leur PC sans avoir machinalement fait un update et un upgrade, pour ceux qui aiment les distributions stables, la mise à jour des paquets peut être plus aléatoire et s’espacer de plusieurs semaines, voire de mois, et je ne parle même pas du PC que vous avez installé chez un membre de votre famille.

Certaines distributions ou gestionnaires de bureau intègrent d’office un système de mise à jour qui nous rappelle les jours heureux passés sous Windows, mais ce n’est pas le cas pour tous les environnements et cela s’applique aussi au serveur sur lequel on auto-héberge des services mais qu’on aime oublier quand tout tourne comme il faut.

Pourtant, comme on le sait tous, la clé d’un système sécurisé passe en premier lieu par un système à jour sur lequel les dernières failles découvertes auront été patchées. D’où les mises à jour de sécurité. Mais rien de folichon pour l’utilisateur, cela n’apportera aucune nouveauté, ne corrigera aucun bug et n’apportera pas la dernière killer-feature. Ça ne fera que colmater d’éventuelles brèches et ça doit être fait au plus tôt.

Alors, comme je trouve cela moyennement passionnant, que ces mises à jour sur versions stables sont testées et quasi sans risque pour la stabilité du système et que j’ai plusieurs systèmes à maintenir à jour, je laisse l’ordi faire ça tout seul grâce à unattented-upgrades.

Pour ceux qui veulent mettre ça en place sans se casser la tête, voici les deux commandes à lancer :
sudo apt install unattended-upgrades apt-listchanges
sudo dpkg-reconfigure -plow unattended-upgrades
Et voilà, par défaut, les mises à jour de sécurité seront faites automatiquement chaque jour s’il y en a.

Pour aller voir si des mises à jour ont été faites et sur quels paquets, tout est tracé dans /var/log/apt/history.log mais il y a aussi moyen d’envoyer un mail à root (ou un autre user) en allant modifier les fichiers de conf. Il est aussi possible de faire d’autres mises à jour que celles de sécurité ou blacklister des paquets à ne pas mettre à jour. Pour les détails techniques, tout est dans la doc de Debian ainsi que dans ce billet didactique.

Je retourne profiter du temps estival.

Vus : 971
Publié par alterlibriste : 146