Quelques astuces et commandes que je ne connaissais pas, que j’ai découverte et que je veux partager.
Automatiser la mise à jour apt en conservant les actuels fichiers de configuration
Issu du site bggofurther.com, dont je recopie le billet ici :
Lorsqu’une mise à jour est faite sur un serveur Debian/Ubuntu, si un paquet essaie de modifier un fichier de configuration, un choix manuel est requis. Si vous essayez d’automatiser le processus, vous souhaitez probablement éviter cette question and conserver la configuration actuelle par défaut.
#!/bin/bash
apt-get update
listUpgrades=<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+YXB0IGxpc3QgLS11cGdyYWRhYmxlIHxncmVwIHVwZ3JhZGFibGUgfGN1dCAtZC8gLWYxPC9jb2RlPg=="></span>
execUpgrades="DEBIAN_FRONTEND=noninteractive apt-get --yes --assume-yes -o DPkg::options::=\"--force-confdef\" -o DPkg::options::=\"--force-confold\" --only-upgrade install "$listUpgrades
eval $execUpgrades
Les différentes options vont forcer la mise à jour à conserver la configuration actuelle et ne pas l’écraser avec celle par défaut du package.
debsum
Debsum est un programme qui va comparer la signature des paquets installés (comparaison du MD5 checksum) avec une liste de référence qui se trouve dans les fichiers /var/lib/dpkg/info/*.md5sums.
Utile pour vérifier l’intégralité d’un binaire dans le cas d’une machine potentiellement compromise (voir par exemple à ce sujet
Devenir SysAdmin d’une PME - Mineur de bitcoin- Billet n°2
Il faut bien évidemment que les fichiers /var/lib/dpkg/info/*.md5sums n’est pas été compromis par un attaquant.
debsecan
Debscan permet de générer une liste des vulnérabilités présentes sur une machine (serveur ou machine personnel) avec les numéros de CVE correspondants.
Pour avoir un article détaillé sur ce programme, voir Debsecan, le paquet qui fait peur sur le Blog-libre de Cascador, il faut également lire les commentaires avec un commentaire de Raphael Hertzog (auteur du livre Debian Administrator’s Handbook).
checkrestart
Outil qui se trouve dans le paquet debian-goodies. checkrestart permet de vérifier quels services utilisent des librairies mises à jour depuis le lancement du service, et qu’il faudrait donc redémarrer pour prendre en compte ces mises à jour.
Voir sur cet utilitaire CheckRestart, outil pratique de debian-goodies, et version Octopuce
Autre façon de savoir s’il faut redémarrer un serveur, la présence du fichier /var/run/reboot-required qui indique que la prise en compte de la mise à jour du noyau (par exemple) nécessite un redémarrage de la machine.
Dans la même rubrique
25 septembre 2020 – Linux - Accéder aux données d’une partition Windows chiffrées avec Bitlocker
24 avril 2020 – Grammalecte
9 mars 2020 – Borg - comment s’assurer que vos serveurs ont des backups récents
25 novembre 2019 – P2V avec Clonezilla ou comment convertir un serveur physique en machine virtuelle
12 novembre 2019 – Evenement - Le libre, meilleur outil pour vos combats associatifs
3 Messages
Astuces Debian, Cascador | 18 décembre 2018 - 10:29 1
Salute,
Pour info : https://raphaelhertzog.fr/2010/12/13/conffiles-fichiers-de-configuration-geres-par-dpkg/
Tcho !
Astuces Debian, Bruno | 19 décembre 2018 - 13:02 2
Bonjour,
Cela ne t’est jamais arrivé de répondre que tu voulais garder la configuration actuelle et de te retrouver avec un service qui ne fonctionne plus ? ;)
Il vaut mieux être prudent avec ce type d’automatisation. Il arrive que des directives de configuration deviennent obsolètes ou que de nouvelles apparaissent.
Astuces Debian, tuxmika | 10 janvier 2019 - 16:58 3
J’utilise la commande "apt-get full-upgrade -y -o Dpkg::Options: :="—force-confnew" -o Dpkg::Options: :="—force-confdef" 2> $log/erreur.log" depuis pas mal de temps dans mon script https://github.com/tuxmika/bash-scripts/blob/master/Script_updates_Ubuntu_Debian et je n’ai jamais eu de soucis depuis 6 ans..
kenavo