[Debian] Mises à jour avec Cron-APT

Cron-APT permet d’automatiser la vérification, le téléchargement et l’installation des mises à jour ainsi que la notification par email via une tâche Cron.

Le mieux est de le configurer pour vérifier les mises à jour, les télécharger et envoyer un email récapitulatif à l’administrateur, qui pourra effectuer l’installation de visu au moment choisi.

La configuration s’effectue dans le fichier /etc/cron-apt/config :

# Choix de la commande du gestionnaire de paquets
APTCOMMAND=/usr/bin/apt-get
# Spécification des fichiers de log correspondant
LOG="/var/log/cron-apt/log"
MAIL="/var/log/cron-apt/mail"
# Adresse email de l’administrateur
MAILTO=admin@em-corporation.fr
# Critères d’envoi d’email
MAILON="upgrade"

La configuration de la tâche planifiée s’effectue dans le fichier /etc/cron.d/cron-apt :

0 4 * * * root test -x /usr/sbin/cron-apt && /usr/sbin/cron-apt

Par défaut la vérification a lieu tous les jours à 4h ce qui est une planification pertinente sans virer paranoïaque.

De plus, après une mise à jour de sécurité, il est important de vérifier que tous les services impactés par ces mises à jour ont bien été redémarres. Lors de la mise à jour d’une bibliothèque par exemple, il est possible que des services utilisent encore l’ancienne version de la bibliothèque jusqu’à ce qu’ils soient redémarres.

Pour détecter ce type de problèmes, le paquet « debian-goodies » fournit l’utilitaire checkrestart qui va rechercher tous les services utilisant une version obsolète d’une bibliothèque dans l’optique de les redémarrer.

Il suffit de lancer la commande « checkrestart » afin d’afficher tous les services à redémarrer afin qu’ils utilisent les dernières versions des bibliothèques.

Exemple:

giedi:~# checkrestart
Found 65 processes using old versions of upgraded files
(20 distinct programs)
(11 distinct packages)

Of these, 7 seem to contain init scripts which can be used to restart them:
The following packages seem to have init scripts that could be used
to restart them:
postfix:
        3937    /usr/lib/postfix/qmgr
        16489   /usr/lib/postfix/pickup
        16464   /usr/lib/postfix/smtpd
        16524   /usr/lib/postfix/smtpd
        16467   /usr/lib/postfix/cleanup
        16469   /usr/lib/postfix/smtp
        16503   /usr/lib/postfix/local
        16522   /usr/lib/postfix/trivial-rewrite
        3935    /usr/lib/postfix/master
[...]
[...]
snmpd:
        2888    /usr/sbin/snmpd

These are the init scripts:
/etc/init.d/postfix restart
[...]
/etc/init.d/snmpd restart

S’abonner à la liste de diffusion des annonces de sécurité peut également être utile afin d’être tenu au courant en temps réel de la sortie des mises à jours et de devancé cron-apt dans le cas de mises à jours critiques.

Lien : http://lists.debian.org/debian-security-announce/

Tags:

Add a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *