Nienadzorowane aktualizacje i zmodyfikowane pliki konfiguracyjne

17

Mamy pakiet nienadzorowanych aktualizacji aktualizujących nasze serwery za pomocą aktualizacji bezpieczeństwa w każdy poniedziałek i działa świetnie. Dzisiaj jednak zaktualizował wszystkie nasze serwery o nową wersję PHP5. Ponieważ przenieśliśmy domyślny plik konfiguracyjny PHP5-FPM, apt skarży się, że plik został przeniesiony i co chcielibyśmy zrobić (Zainstaluj nową wersję, zachowaj starą wersję, pokaż różnice, uruchom powłokę). Ponieważ nienadzorowane aktualizacje nie wiedziały, jak sobie z tym poradzić, po prostu przerwały i zostaliśmy z dziesiątkami maszyn, dopóki PHP5-FPM nie zostało ponownie uruchomione przez monitorowanie.

Pytanie zatem brzmi: w jaki sposób możemy upewnić się, że aktualizacje bez nadzoru będą w stanie poradzić sobie z tą sytuacją, gdy nastąpi to następnym razem? Chcielibyśmy zawsze przechowywać naszą obecnie zainstalowaną wersję. Próbowałem google, ale wyszedłem pusty.

Kevin
źródło
Szokuje mnie to, że twoja dystrybucja ma pakiet, który zachęca do nienadzorowanych aktualizacji. Ktokolwiek jest twoim administratorem systemu, powinien brać udział w aktualizacjach, aby takie sytuacje nigdy się nie zdarzyły. Nie jestem jednak obeznany z tym pakietem, więc nie mogę zaoferować wielu porad na temat pracy z odpowiedzialnym administratorem.
HalosGhost
5
Nieśmiały komentarz jest niepotrzebny, nie sądzisz? Pakiet jest bardzo dobrze znany w społeczności Debiana, używamy go na około 300 serwerach i do tej pory nigdy nie miałem problemu. Nie ma powodu, aby obrażać administratora - nie masz pojęcia, z jakimi politykami, polityką i obciążeniami może on mieć do czynienia. Pakiet jest skonfigurowany do instalowania tylko krytycznych aktualizacji bezpieczeństwa, NIGDY nie miał problemu i również działał świetnie dzisiaj, z wyjątkiem faktu, że nie wiedział, co zrobić z tym monitem. Jeśli nie masz nic do wniesienia, poza obrażeniem opiekuna systemu, wyjdź.
Kevin
Naprawdę nie chciałem być niegrzeczny ani złośliwy, więc jeśli tak trafił mój komentarz, przepraszam. Naprawdę zauważyłem, że utrzymywanie systemów w sieci za pomocą aktualizacji jest standardową częścią pracy sysadmina.
HalosGhost
2
A sysadmin utrzymuje aktualizacje poprzez użycie dobrze znanego, dobrze utrzymanego pakietu aktualizacji zatwierdzonego przez Debiana. Czy spodziewasz się, że będzie logował się do każdego systemu indywidualnie i opiekował się aktualizacją co tydzień? Na 300 serwerach? Dla tego jednego klienta? To niedorzeczne.
Kevin
2
Co jeśli zmiany są wymagane? Jak poprawka konfiguracji do problemu bezpieczeństwa. Nie chcesz tak po cichu zmieniać.
Matt

Odpowiedzi:

22

Chcę również zachować oryginalne pliki konfiguracyjne podczas automatycznych aktualizacji. Możesz dodać następujące elementy do /etc/apt/apt.conf.d/50unattended-upgrades

Dpkg::Options {
   "--force-confdef";
   "--force-confold";
};

Zobacz tutaj dobre objaśnienie opcji: http://raphaelhertzog.com/2010/09/21/debian-conffile-configuration-file-managed-by-dpkg/

jgreat
źródło
2
Czy to potencjalnie nie zepsuje paczek? Jeśli aktualizacja wprowadza na przykład nową składnię, ale konfiguracji nie można zaktualizować do nowej składni.
Rolf