mises à jour automatiques

Christophe C · Le 24/01/2020, à 14:03

Bonjour,

Pour des machines servant de bornes d'accès sur des sites distants, nous souhaiterions un système de MAJ automatiques. Surtout les MAJ de sécurité, mais aussi le navigateur. Il n'y aura pas grand chose d'autre.

J'ai cru comprendre qu'il fallait fait un sudo apt-get install unattended-upgrades
https://help.ubuntu.com/community/Autom … ityUpdates

Il y a des problèmes à identifier, ça marche bien ? Quelqu'un l'utilise ?

LukePerp · Le 24/01/2020, à 18:19

Bonjour,
oui, j'ai utilisé et étudié cette fonction, voici mon feedback :
https://forum.ubuntu-fr.org/viewtopic.php?id=2038042
Conclusion : je déconseille cette fonction et plutôt d'utiliser un script de mises à jour auto tel que :
https://github.com/Philippe734/Snippets … for.laptop

Christophe C · Le 25/01/2020, à 00:08

Ok pour un script, mais comment désactiver la demande de mot de passe ?

nany · Le 25/01/2020, à 00:18

Bonjour,

Et pourquoi pas un service ?
(cf. le §4.4 de la page de doc creer_un_service_avec_systemd)

metalux · Le 25/01/2020, à 00:21

Salut Christophe C,
J'avais fais le script indiqué dans ma signature quand je m'étais initié au bash il y a quelques années......et suite à une discussion que j'avais eu avec un certain Christophe C
Curieusement, je n'ai pas du tout eu la même expérience que LukePerp et j'ai utilisé unattended-upgrades pendant de nombreuses années sans avoir d'accrocs comme ceux qu'il mentionne. Ça me servait surtout à mettre le PC des enfants à jours et j'étais averti par mail si ça se déroulais mal. Les seules fois que j'ai été averti, c'était pour un paquet qui demandait une action manuelle de l'utilisateur pour se mettre à jour, genre ceux qu'on trouve en Ncurse ou bien qui demande si l'on souhaite garder la configuration actuelle, autant dire pas souvent. Depuis les enfants ont grandis et je n'en ai plus vraiment besoin.
Sur mon serveur, j'utilise apticron, ça vérifie tous les jours si il y a des mises à jour mais ça ne les fait pas automatiquement. A la place tu es averti par mail quand il y a des mises à jour en attente.
A défaut, une simple tâche cron devrait également fonctionner, non? Dans ce cas tu fais en sorte qu'elle soit lancée quand tu es sûr que les machines ne risquent pas d'être éteintes.

LukePerp · Le 25/01/2020, à 00:21

Christophe C a écrit :

Ok pour un script, mais comment désactiver la demande de mot de passe ?

C'est expliqué dans le script : avec sudoers

metalux · Le 25/01/2020, à 00:24

Christophe C a écrit :

Ok pour un script, mais comment désactiver la demande de mot de passe ?

Si tu fais une tâche cron en tant que root, pas besoin du mot de passe.

LukePerp · Le 25/01/2020, à 00:27

metalux a écrit :

Christophe C a écrit :
Ok pour un script, mais comment désactiver la demande de mot de passe ?
Si tu fais une tâche cron en tant que root, pas besoin du mot de passe.

Cron ne fonctionne pas si la machine est sur batterie. Le script indiqué fais les mises à jour même sur batterie, si 80%.

metalux · Le 25/01/2020, à 00:40

Faux, cron fonctionne sur batterie, je viens d'essayer une tâche toute simple et le fichier a bien été crée. Fais le test en adaptant le chemin:

sudo crontab -e

50 23 * * * touch /home/metalux/azer

Edit: Ce n'est pas cron qui ne fonctionne pas, c'est plutôt spécifique à certains fichiers ----> /etc/default/anacron et également /etc/cron.daily/apt-compat à modifier si besoin sur batterie.

Dernière modification par metalux (Le 25/01/2020, à 00:56)

Christophe C · Le 25/01/2020, à 07:44

Oui, cron en Root ne demandera pas le mot de passe. Ok, il faut tester.

Merci a vous tous.

LukePerp · Le 25/01/2020, à 08:38

Je me souvient pourquoi je n'avais pas utilisé cron mais plutôt sudoers. Parce que je voulais que les mises à jour s'exécute au démarrage, quelques minutes après. On ne peux pas définir ce créneau avec cron mais c'est le boulot d'anacron, qui lui ne fonctionne pas si machine sur batterie en effet. Je voulais que les mises à jour s'exécutent au démarrage car impossible de prédire quand sera utilisée une machine d'utilisateurs, en particulier s'ils ont un usage très différent de la machine. Après, bien sur on peux multiplier les créneaux horaires de cron pour augmenter la probabilité que les mises à jour auto se fasses. Lorsque j'installe Ubuntu sur une machine d'un utilisateur, j'utilise un script post-install dont voici ci-dessous les commandes pour ajouter le script de mises à jour. De cette façon, je n'ai qu'à ajouter l'exécution du script de mises à jour dans la rubrique "d'applis au démarrage" des paramètres d'ubuntu.

FILE=~/updates.sh # chemin du script de mises à jour auto silencieuses
sudo mv $FILE /opt/updates.sh
echo "$USER ALL=NOPASSWD: /opt/updates.sh" | sudo EDITOR='tee -a' visudo -f /etc/sudoers.d/custom

Christophe C · Le 26/01/2020, à 12:34

merci

Christophe C · Le 28/01/2020, à 14:57

Juste pour être sur, si je passe par cron (en root, donc), je dois créer une ligne dans /etc/crontab qui ressemblera à cela :

0 3 * * * /usr/bin/apt update && apt full-upgrade -y

Dans ce cas, le script se lance à 3:00 chaque matin, sans demande de mot de passe. C'est bien cela ?

Je vais tester, mais s'il y a une grosse erreur, autant le savoir.

melixgaro · Le 28/01/2020, à 15:09

Bonjour,
On peut vraiment mettre une commande aussi compliquée (commande1 + arguments + && + commande2 + arguments) dans cron ?

TheSun · Le 28/01/2020, à 15:40

Mexligaro, dans un cron tu peux mettre ce que tu veux ! tu peux même lui dire de lancer un script gigantesque de 10 000 lignes si tu veux !

melixgaro · Le 28/01/2020, à 15:45

Ok, merci. Je croyais avoir lu le contraire

metalux · Le 28/01/2020, à 20:14

En cas de problèmes, il est préférable de rediriger les commandes vers un fichier de log afin de pouvoir avoir un suivi des mises à jour avec >> /var/log/apt/maj_automatiques.log
Autre remarque, il est préférable d'indiquer le chemin entier vers l'exécutable dans une tâche cron, tu as omis de le faire dans la seconde commande.

Christophe C · Le 29/01/2020, à 13:56

Ah ! donc plutôt cela ?

0 3 * * * /usr/bin/apt update && /usr/bin/apt full-upgrade -y

metalux · Le 29/01/2020, à 15:54

Oui et même mieux:

0 3  * *  * /usr/bin/apt-get update && /usr/bin/apt-get dist-upgrade -y >> /var/log/apt/maj_automatiques.log

Il vaut mieux utiliser apt-get que apt dès qu'il s'agit d'utiliser un script ou une tâche cron:

man apt
UTILISATION DE SCRIPTS ET DIFFÉRENCES AVEC LES AUTRES OUTILS DAPT
       La ligne de commande de apt(8) est conçue comme un outil pour
       l'utilisateur et son comportement peut varier selon ses versions. Bien
       qu'il s'efforce de ne pas casser les compatibilités ascendantes, cela
       ne peut pas non plus être garanti, si une modification semble bénéfique
       pour une utilisation interactive.

       Toutes les fonctionnalités d'apt(8) sont aussi proposées dans les
       outils dédiés d'APT tels que apt-get(8) ou apt-cache(8) apt(8) modifie
       seulement la valeur par défaut de certaines options (voir apt.conf(5)
       et en particulier le champ d'action Binary). Aussi vous devriez
       préférer l'utilisation de ces commandes (éventuellement avec certaines
       options complémentaires activées) dans les scripts parce qu'elles
       conservent autant que possible la compatibilité ascendante.

D'ailleurs un test en terminal te retourne cet avertissement: WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

tu seras bien content d'avoir un fichier de log si un jour une mise à jour se passe mal. En général les logs ne servent rien mais s'avère très utiles lors des exceptions.
Pour la redirection, tu peux éventuellement prévoir aussi la sortie des erreurs en plus de la sortie stdout.

Ou sinon retour à la case départ en utilisant une solution prévue pour ça comme unattended-upgrade : http://planet.tdct.org/?post_id=213

LukePerp · Le 29/01/2020, à 19:00

Cron ou script, penses à utiliser ces commandes suivantes dans cet ordre. Car si les mises à jour sont interrompues, il faudra réparer les paquets.

sudo apt install -fy
sudo apt autoclean
sudo apt autoremove --purge -y 
sudo dpkg --configure -a # peux rester bloqué donc à mettre en dernier et sera débloqué automatiquement avec les mises à jour d'un autre jour.

Je me permet de rappeler que unattended-upgrade n'est pas fiable, car durant mes tests de six mois sur plusieurs machines, l'exécution de unattended-upgrade se bloquait et il a fallut réparer les paquets. Alors que les commandes de mises à jour avec réparation fonctionnent à merveille.
L'usage de apt-get ou apt fait toujours débat chez les spécialistes, on n'a pas finis de lire qu'il faut utiliser l'un ou l'autre ;-p

Dernière modification par LukePerp (Le 29/01/2020, à 19:03)

metalux · Le 29/01/2020, à 21:02

@LukePerp
Salut LukePerp,
Pour unattended-upgrades, c'était une petit provoc (amicale) à ton attention et j'ai vu juste

LukePerp a écrit :

Je me permet de rappeler que unattended-upgrade n'est pas fiable, car durant mes tests de six mois sur plusieurs machines, l'exécution de unattended-upgrade se bloquait et il a fallut réparer les paquets.

Je ne sais pas pourquoi tu as eu ces blocages, est-ce dû à ton utilisation sur batterie?

metalux a écrit :

Je ne me permet pas de dire que unattended-upgrade est fiable uniquement sur ma propre expérience, même si je l'ai utilisé durant au moins 7 à 8 ans sur plusieurs machines avec succès.

Avec le temps, on apprend que son expérience personnelle n'est pas toujours la vérité. Cependant sa propre expérience n'est pas toujours celle que rencontre les autres.
Pour Apt vs apt-get, c'est spécifique aux scripts, c'est dans le manuel de Apt si tu as lu l'extrait mis ci-dessus qui conseille d'utiliser apt-get à la place.
J'espère que tu ne prendra pas mal ma petite provoc' de toute façon Christophe C part sur une tâche cron et l'important est d'arriver à son but, peu importe les moyens.

LukePerp · Le 29/01/2020, à 21:20

metalux a écrit :

c'était une petit provoc (amicale) à ton attention et j'ai vu juste Je ne sais pas pourquoi tu as eu ces blocages, est-ce dû à ton utilisation sur batterie?

Bien joué, j'ai foncé ! Tu aimerais peut-être que je montre des données factuelles et des mesures des anomalies que j'ai rencontré. Mais je n'ai pas collecté, ni enregistré les éléments, je ne suis pas au travail ;-p
Édit : je me suis souvenu d'une occurrence avec le paquet avahi : https://forum.kubuntu-fr.org/viewtopic.php?pid=21900692

Dernière modification par LukePerp (Le 31/01/2020, à 14:27)

metalux · Le 29/01/2020, à 21:43

Je m'interroge simplement sur les raisons qui font que nous avons eu une expérience si différente

grandtoubab · Le 29/01/2020, à 21:45

La condition sur l'alimentation est dans le service anacron

cat /usr/lib/systemd/system/anacron.service

[Unit]
Description=Run anacron jobs
After=time-sync.target
# By default, anacron will not run when no AC power is connected to system.
# If you are using systemd and want to run anacron even when running on
# battery, you should create the following file with the specified content
# and then call "systemctl daemon-reload":
#    /etc/systemd/system/anacron.service.d/on-ac.conf:
#        [Unit]
#        ConditionACPower=
# See /usr/share/doc/anacron/README.Debian for detailed information.
ConditionACPower=true
Documentation=man:anacron man:anacrontab

[Service]
EnvironmentFile=/etc/default/anacron
ExecStart=/usr/sbin/anacron -d -q $ANACRON_ARGS
IgnoreSIGPIPE=false
KillMode=mixed
# Use SIGUSR1 to stop gracefully
KillSignal=SIGUSR1

[Install]
WantedBy=multi-user.target

on peut la retirer, comme indiqué dans le commentaire d'entête du service, et utiliser anacron sur batterie

Au préalable

sudo mkdir /etc/systemd/system/anacron.service.d

/etc/systemd/system/anacron.service.d$ cat on-ac.conf

[Unit]
ConditionACPower=

sudo systemctl status anacron.service
● anacron.service - Run anacron jobs
     Loaded: loaded (/lib/systemd/system/anacron.service; enabled; vendor preset: enabled)
    Drop-In: /etc/systemd/system/anacron.service.d
             └─on-ac.conf
     Active: active (running) since Wed 2020-01-29 20:50:58 CET; 11s ago
TriggeredBy: ● anacron.timer
       Docs: man:anacron
             man:anacrontab
   Main PID: 7831 (anacron)
      Tasks: 1 (limit: 4278)
     Memory: 332.0K
     CGroup: /system.slice/anacron.service
             └─7831 /usr/sbin/anacron -d -q -s

Dernière modification par grandtoubab (Le 29/01/2020, à 22:04)

Christophe C · Le 30/01/2020, à 11:01

Finalement j'ai fait hier soir dans /etc/anacrontab (anacron est mieux adapté que cron).

1 20 MAJ /usr/bin/apt-get update && /usr/bin/apt-get full-upgrade -y

(donc MAJ 1 fois par jour, 20Mn après le démarrage). Pas encore de recul, on va voir. Je vais rajouter la création d'un fichier de log.

Pour les commandes de correction, je les connais, mais je ne les ai jamais mis dans un script de MAJ. Mais pourquoi pas.

Dernière modification par Christophe C (Le 30/01/2020, à 11:03)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 24/01/2020, à 14:03

mises à jour automatiques

#2 Le 24/01/2020, à 18:19

Re : mises à jour automatiques

#3 Le 25/01/2020, à 00:08

Re : mises à jour automatiques

#4 Le 25/01/2020, à 00:18

Re : mises à jour automatiques

#5 Le 25/01/2020, à 00:21

Re : mises à jour automatiques

#6 Le 25/01/2020, à 00:21

Re : mises à jour automatiques

#7 Le 25/01/2020, à 00:24

Re : mises à jour automatiques

#8 Le 25/01/2020, à 00:27

Re : mises à jour automatiques

#9 Le 25/01/2020, à 00:40

Re : mises à jour automatiques

#10 Le 25/01/2020, à 07:44

Re : mises à jour automatiques

#11 Le 25/01/2020, à 08:38

Re : mises à jour automatiques

#12 Le 26/01/2020, à 12:34

Re : mises à jour automatiques

#13 Le 28/01/2020, à 14:57

Re : mises à jour automatiques

#14 Le 28/01/2020, à 15:09

Re : mises à jour automatiques

#15 Le 28/01/2020, à 15:40

Re : mises à jour automatiques

#16 Le 28/01/2020, à 15:45

Re : mises à jour automatiques

#17 Le 28/01/2020, à 20:14

Re : mises à jour automatiques

#18 Le 29/01/2020, à 13:56

Re : mises à jour automatiques

#19 Le 29/01/2020, à 15:54

Re : mises à jour automatiques

#20 Le 29/01/2020, à 19:00

Re : mises à jour automatiques

#21 Le 29/01/2020, à 21:02

Re : mises à jour automatiques

#22 Le 29/01/2020, à 21:20

Re : mises à jour automatiques

#23 Le 29/01/2020, à 21:43

Re : mises à jour automatiques

#24 Le 29/01/2020, à 21:45

Re : mises à jour automatiques

#25 Le 30/01/2020, à 11:01

Re : mises à jour automatiques

Pied de page des forums