Informatique

Salut

Je voudrais savoir comment vous vous y prenez pour maintenir vos machines à jour (avec l’hypothèse que vous en avez plusieurs).

Perso j'ai quelques Debian et un FreeNAS.

Clairement j'ai la flemme de faire mes mises à jour et/ou j'y pense pas

J'ai vu qu'il existe des outils tel que apticron qui permettent d'informer des mises à jour, mais ça m'a pas l'air super pratique
https://debian-handbook.info/browse/fr-FR/stable/sect.regular-upgrades.html

Ou encore Unattended-Upgrade qui va carrément upgrade le système automatiquement.
Mais bon, faire des upgrade de façon automatique c'est peut-être pas forcément une bonne idée ? Je veux dire par là qu'il y a toujours des risques de causer des problèmes non ? Bien que j'utilise les versions "stables".

Sinon je pensais mettre en place un petit Nagios, parce qu'il existe un plugin qui cherche les mises à jour, et de mémoire va donner un avertissement en cas de mise à jour "basique" et un critical en cas de mise à jour de sécurité. Et en même temps ça permet de vérifier que la machine fonctionne toujours.
Mais bon c'est une solution qui demande mine de rien un peu de travail pour la mettre en place et puis c'est peut-être un peu overkill

Enfin voilà, comment vous faites vous ?

pour debian stable, je n'ai jamais rien casser en mettant a jour la machine pour les patch de securite. tant que tu reste dans stable, ca marche juste comme tu le veux. donc perso je fais les unattended security update sur mes debian stables.

Sur mon serveur un petit aptitude une fois par mois.
Su ma Manjaro le gestionnaire affiche une icône dans le tableau de bord.

Je n'utilise plus aptitude pour installer des paquets. Quand j'ai des paquets à mettre à jour (`apt list --upgradable`), c'est `apt update && apt upgrade` sans me poser de question. C'est réalisé quotidiennement suite à la lecture d'un mail récap de chacune des machines administrées [1].

Donc pour récapituler, potentiellement, tous les matins à 9h, je fais un `apt update && apt upgrade` sur mes machines [2].

[1] https://www.deblan.io/post/569/generer-un-rapport-d-un-serveur-en-html-texte-dans-fichier-et-ou-un-mai
[2] https://doc.ubuntu-fr.org/cssh

Salut

Une petite question, admettons que sur Debian je fais tourner un serveur d'importance "critique" qui ne doit jamais être arrêté, comment je peux procéder pour faire les mises à jour ?
Logiquement ce dit serveur doit utiliser certains éléments du système, donc faire la mise à jour "à chaud" ça doit être... chaud

J'ai pas d'exemple précis étant donné que ce n'est pas mon cas c'est juste pour savoir
Mais c'est certainement une problématique courante en entreprise ?

En entreprise tu fait une annonce de mise à jour pendant des heures mortes... par exemple lundi prochain à 1h du matin.

Sinon pas toutes les updates demandent de redémarrer le serveur, souvent uniquement le service suffit.

(T'as le paquet needrestart qui permet de te dire cela)

en pratiqie il y a tres peu de serveur critique. en moyenne les services peuvent supporter l'equilibre de charges au niveau dns ou ip. et donc tu fais de la redondance.
si le service n'est vraiment pas si critique, tu mets a jour la nuit.
si le serveur est TRES critique et pas replicable, souvent il est bien firewalle comme il faut et donc on les met pas a jour du tout. parceque la mise a pourrait faire tomber le service trop longtemps si il y a une incompatibilite logicielle.

si le serveur est TRES critique et pas replicable, souvent il est bien firewalle comme il faut et donc on les met pas a jour du tout.

Ce qui est inacceptable, surtout si des failles de sécurité sont découvertes sur le SSH par exemple.

Une petite question, admettons que sur Debian je fais tourner un serveur d'importance "critique" qui ne doit jamais être arrêté, comment je peux procéder pour faire les mises à jour ?

Si ton serveur est d'important critique, il est redondé, sinon c'est un SPOF.
Parce que s'il peut pas être arrêté par quelqu'un et qu'il s'arrête "tout seul" tu vas être ennoyé

Un systeme critique au point que tu ne peux pas l'eteindre jamais, tu ne le met pas en ligne avec un port ssh ouvert. Tu fermes le port ssh au niveau du firewall, et tu ouvre le port pour une ip precise quand u as besoin d'acceder a la machine. Du coup que le serveur ssh soit a jour ou pas, c'est relativement pas grave.

Probablement tu ne veux pas la machine sur le web du tout ou alors qui ne parle qu'a une seul machine ou deux. Parceque sinon, ta machine est potentiellement ddosable. Et si elle se prend un ddos c'est l'armagedon.