Actualizaciones desatendidas y archivos de configuración modificados

17

Tenemos el paquete de actualizaciones desatendidas que actualiza nuestros servidores con actualizaciones de seguridad todos los lunes y funciona muy bien. Sin embargo, hoy actualizó todos nuestros servidores con una nueva versión de PHP5. Debido a que hemos movido el archivo de configuración PHP5-FPM predeterminado, apt se queja de que el archivo se ha movido y de lo que nos gustaría hacer (instalar una nueva versión, mantener una versión anterior, mostrar diferencias, iniciar el shell) al respecto. Dado que las actualizaciones desatendidas no sabían cómo lidiar con esto, simplemente abortaron y nos quedamos con docenas de máquinas inactivas hasta que PHP5-FPM se reinició mediante monitoreo.

Entonces la pregunta es: ¿cómo podemos asegurarnos de que las actualizaciones desatendidas puedan manejar esta situación cuando ocurra la próxima vez? Nos gustaría mantener siempre nuestra versión instalada actualmente. Traté de buscar en Google pero me quedé vacío.

Kevin
fuente
Me sorprende que tu distribución tenga un paquete que fomente las actualizaciones desatendidas. Quien sea su administrador de sistemas debe asistir a las actualizaciones para que tales situaciones nunca ocurran. Sin embargo, no estoy familiarizado con el paquete, por lo que no puedo ofrecer muchos consejos sobre cómo trabajar para tener un administrador de sistemas responsable.
HalosGhost
55
El comentario sarcástico es innecesario, ¿no te parece? El paquete es muy conocido en la comunidad de Debian, lo usamos en alrededor de 300 servidores y nunca hemos tenido un problema hasta hoy. No hay razón para insultar al administrador: no tiene idea de qué políticas, políticas y cargas de trabajo puede estar tratando. El paquete está configurado para instalar solo actualizaciones críticas de seguridad, NUNCA ha tenido un problema, y ​​funcionó muy bien hoy, salvo por el hecho de que no sabía qué hacer con ese aviso. Si no tiene nada que aportar, excepto insultar al responsable del sistema, retírese.
Kevin
Realmente no estaba tratando de ser grosero o sarcástico, así que si así fue como se hizo mi comentario, me disculpo. Realmente comentaba que mantener los sistemas en una red a través de actualizaciones es una parte estándar del trabajo de un administrador de sistemas.
HalosGhost
2
Y el administrador del sistema mantiene las actualizaciones mediante el uso de un paquete de actualizaciones bien conocido, bien mantenido y respaldado por Debian. ¿Espera que inicie sesión en cada sistema individualmente y cuide la actualización cada semana? ¿En 300 servidores? ¿Para este cliente? Eso es ridículo.
Kevin
2
¿Qué pasa si se requieren los cambios? Como una corrección de configuración a un problema de seguridad. No quieres cambiar silenciosamente así.
Matt

Respuestas:

22

También quiero mantener los archivos de configuración originales mientras hago actualizaciones automáticas. Puede agregar lo siguiente a /etc/apt/apt.conf.d/50unattended-upgrades

Dpkg::Options {
   "--force-confdef";
   "--force-confold";
};

Vea aquí una buena explicación de las opciones: http://raphaelhertzog.com/2010/09/21/debian-conffile-configuration-file-managed-by-dpkg/

jgreat
fuente
2
¿Eso no rompería potencialmente los paquetes? Si una actualización introduce una nueva sintaxis, por ejemplo, pero la configuración no se puede actualizar a la nueva sintaxis.
Rolf