Come vengono configurati gli "aggiornamenti offline" di systemd su un server Debian?

Come vengono configurati gli "aggiornamenti offline" di systemd su un server Debian?

Debian 9 con Gnome sembra essere configurato con la funzione "aggiornamenti offline" di systemd già configurata. Esiste un pacchetto che posso installare su un sistema server per ottenere lo stesso comportamento?

Sui server Debian, invece di fare affidamento su un ambiente minimo dopo un riavvio per installare gli aggiornamenti dei pacchetti, tendiamo a raccomandare l'aggiornamento mentre il sistema è attivo e riavviare quando necessario.

Questo è supportato da numerosi pacchetti:

• aptesso stesso include i timer di systemd (e un cron job in modo che funzioni senza systemd) implementando aggiornamenti periodici dell'indice ( APT::Periodic::Update-Package-Lists, impostato su 0 di default e quindi disabilitato) e download automatici di pacchetti ( APT::Periodic::Download-Upgradeable-Packages, anch'essi impostati su 0 di default);

• unattended-upgradesimplementa aggiornamenti automatici di pacchetti che possono essere aggiornati in sicurezza (in genere, aggiornamenti di sicurezza); si collega ai timer forniti da apt( APT::Periodic::Unattended-Upgrade, anch'esso impostato su 0 per impostazione predefinita);

• needrestartrileva i demoni che devono essere riavviati e li riavvia con il contesto systemd appropriato (se systemd è in uso); supporta anche il riavvio, se necessario, a seguito di un aggiornamento del kernel.

Ci sono pro e contro per entrambi gli approcci. Il riavvio per tutti gli aggiornamenti garantisce che i processi obsoleti non siano mai disponibili e riduce al minimo il rischio di corruzione del database dei pacchetti (specialmente nel mondo RPM); ovviamente riduce i tempi di attività, ma in un mondo di servizi ad alta disponibilità bilanciati dal carico piuttosto che da server , ciò non ha molta importanza. L'aggiornamento di un sistema live riduce al minimo il rischio di finire con un server non raggiungibile e mantiene disponibili i servizi di sistema (anche se aptpotrebbe essere migliorato anche a questo proposito, poiché i daemon possono essere fermati a lungo durante gli aggiornamenti - ma questo è un altro problema); tuttavia ti lascia vulnerabile per un po 'più a lungo una volta trovata una falla di sicurezza.

La manpage che hai collegato per dettagliare i requisiti per chiunque desideri implementare un sistema di aggiornamento orientato al server; sarebbe relativamente semplice farlo su Debian, ma per quanto ne so non esiste un'implementazione in pacchetto. Potresti costruire sopra il framework sopra descritto, con i download automatici come sono fatti ora e in unattended-upgradesesecuzione nell'ambiente di aggiornamento minimo ...