Комментарии 9
НЛО, магическим образом знает, что охота изучить на этой неделе. Автор — спасибо. Доходчиво.
Можно хотя бы один пример security update, который выкатил новую версию, которая приводит к «иначе можно получить новую версию софта, которая больше не работает с опцией, добавленной вами в конфиг»?
За все годы своего администрирования я ни разу не видел в Debian security-фикса, который бы приводил к тому, что софт больше не понимает опцию в конфиге.
И то что вы говорите звучит так, как будто unattended updates сломаны, хотя это не так.
Тяжёлые обвинения требуют серьёзных доказательств, а у вас они не приведены.
За все годы своего администрирования я ни разу не видел в Debian security-фикса, который бы приводил к тому, что софт больше не понимает опцию в конфиге.
И то что вы говорите звучит так, как будто unattended updates сломаны, хотя это не так.
Тяжёлые обвинения требуют серьёзных доказательств, а у вас они не приведены.
Нет тут тяжёлых обвинений. Цитата, которую вы приводите, не утверждает такого в контексте конкретно security updates — она про «вообще». В следующем после неё предложении написано: «Собирая или заимствуя пакет в свой репозиторий, помните…», — а не «Включая/оставляя unattended upgrades для security updates, помните…».
А где у вас про «security updates»? Вот у меня лично сложилось впечатление, что вы пишите это в контексте именно unattended updates.
Более того, я просто не могу иначе интерпретировать написанное. Цитирую:
Как это можно прочитать иначе, чем ругань на unattended я не понимаю.
А ведь вся ваша ругань относится к «использовать не по назначению».
Более того, я просто не могу иначе интерпретировать написанное. Цитирую:
Итак, какие возможности предоставляют unattended upgrades и к каким проблемам могут привести?
…
Это обстоятельство стоит учитывать, потому что иначе можно получить новую версию софта, которая больше не работает с опцией, добавленной вами в конфиг, и после установки пакета сервис/приложение просто не запустится.
Как это можно прочитать иначе, чем ругань на unattended я не понимаю.
А ведь вся ваша ругань относится к «использовать не по назначению».
Про «security updates» у нас в самом начале, где рассказывается, что по умолчанию unattended upgrades настроен только на них.
То, что вы называете руганью, таковой тоже не является — ну, я это так не воспринял, например, да и автор, думаю, тоже в виду не имел… Это предупреждение о том, что нужно учитывать, если использовать unattended upgrades не только по умолчанию. И уж точно не «тяжелое обвинение», если читать всё внимательно. В приведённой цитате вы опять упускаете из вида следующее предложение, на которое я уже указал и которое всё уточняет.
На правах редактора исправил «Итак, какие возможности предоставляют…» на «Итак, какие дополнительные возможности предоставляют…». Надеюсь, это снимет возможную двусмысленность для тех, кто читает иначе.
То, что вы называете руганью, таковой тоже не является — ну, я это так не воспринял, например, да и автор, думаю, тоже в виду не имел… Это предупреждение о том, что нужно учитывать, если использовать unattended upgrades не только по умолчанию. И уж точно не «тяжелое обвинение», если читать всё внимательно. В приведённой цитате вы опять упускаете из вида следующее предложение, на которое я уже указал и которое всё уточняет.
На правах редактора исправил «Итак, какие возможности предоставляют…» на «Итак, какие дополнительные возможности предоставляют…». Надеюсь, это снимет возможную двусмысленность для тех, кто читает иначе.
Увы, не панацея: во-первых, некоторые пакеты при обновлении нагло рестартуют соответствующую службу, тот же nginx например, или что гораздо хуже — mysql. И это никак не отключается, потому что гвоздями прибито в postinst. Во-вторых, после обновления то же библиотеки надо рестартить использующий её софт, потому что в запущенных процессах всё ещё используется старая версия.
Но штука безусловно полезная.
> Во-вторых, после обновления то же библиотеки надо рестартить использующий её софт, потому что в запущенных процессах всё ещё используется старая версия.
Так если используется старая — это ещё хорошо :) Хуже, если файл меняется на ходу, а он используется как библиотека. Для основных бинарников это блокируется ядром, для библиотек — не везде. В результате получаем, например, такое (Firefox с обновлённой freetype):
Тут уже зависит от поведения менеджера пакетов.
А необходимость рестарта хорошо отображает, например, zypper (из OpenSuSE). «zypper ps» показывает, кого надо перезапустить по мере возможности.
Аналога для apt что-то не видно (из коробки).
Так если используется старая — это ещё хорошо :) Хуже, если файл меняется на ходу, а он используется как библиотека. Для основных бинарников это блокируется ядром, для библиотек — не везде. В результате получаем, например, такое (Firefox с обновлённой freetype):
Тут уже зависит от поведения менеджера пакетов.
А необходимость рестарта хорошо отображает, например, zypper (из OpenSuSE). «zypper ps» показывает, кого надо перезапустить по мере возможности.
Аналога для apt что-то не видно (из коробки).
Да, про рестарт в статье написано ;-)
[..] это обновления безопасности для PostgreSQL. В стандартной конфигурации Ubuntu Server [..] автоматическое обновление критичных уязвимостей в этой СУБД приводило к её рестарту в то время, когда не все этого ожидали.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Теория и практика unattended upgrades в Ubuntu