Как настроить авто обновление Debian 12 ночью?

ночью

Чтобы если всё сломается, то ты этого не заметил? (%
И чтобы утро начиналось с раскатывания быкапов!

Такое будет случаться раз в год и мне не напряжет раз год, да даже два раза в год, чинить сервер - это все равно в разы легче, чем каждый месяц руками заходить и обновлять или поймать ботнет из-за забывчивости.

И к тому же, за последние 10 лет использования Debian у меня еще НИ разу не было ситуации, когда сервер и домашняя станция ломались после обновления, это говорит о высочайшей надежности Debain.

Соответственно, необходимость чинить сервер будет возникать КРАЙНЕ редко - реже чем возможные взломы из-за небезопасных пакетов.

Ну и отмечу что, я не работаю с чересчур уж серьезными проектами, там где нужна высокая надежность… там всегда есть штат людей, чтобы руками за всем следить. В моем случае, даже если сервер сдохнет на пару дней, это не нанесет никому ущерба.

Как настроить авто обновление Debian 12 ночью?

«Вжух!» Твои сны, твои правила.

Если не изменяет память, для дебиана штатный способ сабжа описан тут.

И к тому же, за последние 10 лет использования Debian у меня еще НИ разу не было ситуации, когда сервер и домашняя станция ломались после обновления, это говорит о высочайшей надежности Debain.

Оно всегда так. Пока ручками что-то делаешь — всё хорошо, как только автоматизировал — что-то прилетело и всё сломало.

А вообще, cron вполне решение.
Или можешь заморочиться и написать systemd.timer.

Однако, я предвижу проблемы: не смотря на наличие аргумента -y, если в процессе обновления вылезут какие-нибудь вопросы, выборы или требования согласия с лицензией, процесс обновления встанет. Я руками проверял: все эти согласия для микрокода все равно вылезают, не смотря на наличие -y.

Была какая-то утилита… expect, кажется.

Как вы сами решаете проблему авто обновления? Расскажите, пожалуйста, про свой опыт.

Для меня обновление не является проблемой. (=

Систему обновляю самописным скриптом, пакеты только вручную. Но у меня не Linux. (=

Ха-ха, и так работы много, если я будут работать еще и во сне… это же двойной объем за ту же зарплату, не-не спасибо)

Сейчас изучаю эту утилиту, похоже это как раз то, что мне нужно. Спасибо)

Это окр.

Я даж шиндошс который в интернет смотрит оьновляю не чаще раза в 3 месяца.

Опенврт ровутер не чаще.

Одноплатник, опять же публикующий в интернеты сайтеги, вообще не обновляю.

Кому ты нужен. Боты его хакнут 🤣

Хочешь верь, хочешь не верь, но на серверах которые долго не обновляются рано или поздно начинает возникать анимальный трафик, в какой-то момент об даже начинает написывать хостер и если не принять меры, то часто блокируют учетки. Знаем, уже проходили. В общем, обновлять все таки надо.

Кому ты нужен. Боты его хакнут

Ой ну не знаю. Мне на каждый белый ип долбятся по ssh как минимум) За натом не актуально (для всякой там шинды), но ты глянь-то в логи на всякий случай. 😊

лично - никому.
однако ботам, сканящим сеть, на твою великую личность глубоко… :)
они тупо сканят фсё подряд, апосля сливают открытые порты и найденные косяки подключений в файлик и передают «куда-надо».

В неинтерактивном режиме вопросы с лицензиями и прочие игнорируются и используется дефолтное поведение.

Когда-то давно у меня был парк серверов, который так обновлялся. Я из той конторы уволился, а сервера продолжали работать и обновляться до тех пор, пока версия дебиана не стала oldoldstable и обновления для неё не перестали выпускать.

По хорошему над сначала где-то на тестовом обновляться, смотреть всё ли работает, а потом боевой обновлять. Ну а если всё равно умрёт оно или нет, зачем его обновлять?

man unattended-upgrades

Как вы сами решаете проблему авто обновления?

полностью отказался от него - такое нинужно

Чтобы боты не ломали: такое на самом деле часто происходит.

Риск падения сервера в результата взлома выше, чем риск падения сервера в результате авто обновления.

еще НИ разу не было ситуации, когда сервер и домашняя станция ломались после обновления, это говорит о высочайшей надежности Debain

У меня как раз вчера сломался стабильный дебиан. Прилетело ядро 6.1.0-29 из proposed-updates, в котором сломали zram. Система грузится раз через раз, а если грузится, то программы ловят случайные глюки.

Не стреляй в ногу. Это больно.

У меня стандартная конфигурация сервера, без наворотов, у тебя zram упал, а у меня его нет и не было никогда. Вероятность словить проблемы на стандартной конфигурации минимальная.

стабильный дебиан

proposed-updates

Надо выбрать что-то одно, proposed - тестовые апдейты для stable.

Через cron?

Тред не читал.

Через геолокацию.

Очень просто:

Заходишь ночью на сервак, бекапишь, обновляешь, если ничего не отвалилось, идёшь спать.

Дык 9 лет проблем с этим не было, а тут "(Чпок) Добрый вечер!"

Ты просто на них не попадал :)

Ну видимо опять где-то всю удачу потратил.

https://habr.com/ru/companies/flant/articles/330406/

Да, мог бы и получше применение найти :))

В proposed попадают глючные апдейты и довольно оперативно заменяются на пофикшенные (1-2 суток), т.е. если обновляешься не сильно регулярно, то можешь и не увидеть даже. Интересно, за сколько поправят твой.

Однако, я предвижу проблемы

Вот на этом можно было бы и остановиться, не надо размазывать предположения какого именно сорта, сортов на вкус и цвет масса, включая те о которых сейчас никто не догадывается.

И чтобы утро начиналось с раскатывания быкапов!

Судя по лихости намерений ТС еще не дошел до стадии «уже делает бэкапы»

И к тому же, за последние 10 лет использования Debian у меня еще НИ разу не было ситуации, когда сервер и домашняя станция ломались после обновления, это говорит о высочайшей надежности Debain.

Это говорит лишь о том, что вам не попадался софт который внезапно после обновления, в вашем варианте использования, превратится в тыкву. И дистроспецифичность тут не причем, оно у всех одинаково.

в убунту обновление пакетов настраивается в /etc/apt/apt.conf.d/50unattended-upgrades

а частота не знаю где. наверно 2 раза в сутки.

Была какая-то утилита… expect, кажется.

Почему была? Была, есть и будет есть, но проблема в случае задачи ТС заключается в том, что чтобы запрограммировать «что-то», надо сначала знать об этом «что-то».

но на серверах которые долго не обновляются рано или поздно начинает возникать анимальный трафик

Та шо ви говорите… Серверов которые без всяких обновлений проработали и работают больше 10 лет за свою практику знал больше одного и больше десятка и вот вы возможно не поверите, но никакого аномального трафика.

за свою практику знал больше одного и больше десятка

Если на красный свет дорогу перебегать - то тоже не сразу задавят.

Чисто ради интереса зашел сейчас на одну машинку (впс самый дешман, была нужна буквально разово) - а там уже и установлен пакет unattended-upgrades. :)

И судя по логам вполне себе обновляется. Я конечно так себе админ, но мне кажется если минимальный набор апдейтов ставить автоматом то уже в дебиане-то маловероятно что что-то отлетит..)

показывает частоту запуска:

grep «Запускаются сценарии» /var/log/unattended-upgrades/unattended-upgrades.log

Чтобы боты не ломали: такое на самом деле часто происходит.

Учитывая хестию, ломают вас через приложения на пехепе, а не через службы на дебиане.

да. php и апачи надо иметь последней стабильной версии. поэтому надо подключать репозитории.

Судя по лихости намерений ТС еще не дошел до стадии «уже делает бэкапы»

К этому доморощенные админы приходят только через боль, страдания и безвозвратно потерянные данные. (=

быкапов

Только сейчас заметил у себя опечатку. xD

Чтобы боты не ломали, одних обновлений недостаточно.

Меня ещё ни разу не ломали (тьфу-тьфу-тьфу, Ктулху упаси!), причём даже на очень древнем софте, потому что я уделяю внимание безопасности, а не обновлениям. (=

и как же уделяете внимание безопасности? наверно вы никому не нужны раз не ломают.

Ботнеты сейчас долбятся в весь /0/::, так что даже если кто-то никому не нужен, это не значит что его не пытаются взломать.

Почему была?

В смысле «проскакивала в инфополе».

Если на красный свет дорогу перебегать - то тоже не сразу задавят.

В упомянутых мной случаях светофор в пустыни стоит.

впс самый дешман
И судя по логам вполне себе обновляется.

Вопрос что именно у неё обновляется?

Пакеты 🤔

Чтобы не ломали, не выставляй наружу ничего, что не бегает в контейнере. А правильно настроенный контейнер ломать бессмысленно, там большая часть в ридонли, изредка есть данные, если они не в базе, которая где-то внутри хоста, недоступная извне.

full-upgrade

Это sid или testing? Если так, то full-upgrade автоматом опасно (может снести полсистему), только вручную чтобы смотреть что оно удалять будет.

Если stable то нужно только apt upgrade.

Например у меня прописаны белые листы as которые имеют доступ к открытым портам на роутере.

А еще пароли 15 символов из генератора