Updates per Cronjob


#1

Fortsetzung der Diskussion von Admintagebuch - Dokumentation der Admintätigkeiten:

Moin,

mir geht diese Updaterrei ziemlich auf den Keks und da bahnt sich ja schon das nächste Update an, DSA-777 oder so, das wo man die privaten SSH-Schlüssel der anderen Nutzer abfischen kann.

Ich würde vorschlagen per Ansible auf allen Maschinen einen cronjob einzurichten, der alle vier Stunden apt-get update && apt-get dist-upgrade -y ausführt.

Wir haben Debian, Debian ist extrem stabil, sodass ich da bzgl. automatischer Updates keine Bedenken habe und vier Stunden liegt hoffentlich unter der Zeit, in der heftige Exploits großflächig ausgerollt werden. Dann könnte man eventuell das Skript noch so erweitern, dass bei einem Kernelupdate zu einem zufäligen Zeitpunkt innerhalb der nächsten 120 min neu gestartet wird. Zufällig, damit sich nicht alle gleichzeitig wegschalten.

Grüße
Matthias

@void, @Parad0x, @Fungur, @kgbvax, @FanLin, @descilla, @MPW, @paulinsche


#2

Ihr könntet Euch auch noch cron-apt ansehen, der kann auch passende Mails nach Updates verschicken.

(edit) ganz passable Anleitung dazu


#3

Bin dafür! :+1:


#4

Ich bin dagegen. Best practice das nicht zu tun, da updates auch mal was kaputtmachen.

Eher einfach mal auf die Advisories schauen, 80% davon betreffen uns nämlich nicht. So machen wir das zumindest bei uns in der Produktion: Probleme die uns nicht betreffen werden nicht per Hotfix eingespielt sondern irgendwann bei der Wartung.

Und wenn es schon automatisch sein soll, dann bitte mit einer Preprod Kiste testen bitte (oder halt snapshost erstellen)


#5

Bin auch gegen cron und schlage mal wieder eine Zwischenlösung vor: mehrere ansibles bauen aber nur manuell starten.


#6

So wie greyworm-1 gerade aussieht halte ich davon ggf. auch nichts. Zumindest nicht wenn niemand auf die Ergebnisse schaut und mal prüft ob da nicht ggf. Fehler aufgelaufen sind.