На веб-сервере Ubuntu 12.04 мы отправляем ночной отчет об обновлениях для этой машины, на которой запущен cron с обновлением в пробном режиме.
apt-get update && upgrade --dry-run
Раньше мы создавали снимок, а после запускали все обновления. Немного беспокоился, что обновление может сломать то, о чем мы сейчас думаем, не обновляя каждый пакет, который нам сообщает apt-get. Это вносит путаницу, и это лучший выход.
Вопросы:
обычно ли обновлять каждый пакет, о котором нам сообщает apt-get? - или только в определенные пакеты
apt-get install --only-upgrade имя_пакета
Если мы обновим только определенные пакеты, apt-get по-прежнему будет заботиться о зависимостях?
Если не рекомендуется запускать все доступные обновления для этой машины, лучше запускать только определенные обновления, как написано выше, или сдерживать пакеты с помощью:
apt-mark hold имя_пакета
Если ни один из них не является оптимальным (определить или удерживать пакеты), рекомендуется проверять наличие обновлений безопасности только с помощью
apt-get -s dist-upgrade | grep "^ Inst" | grep -i securi
и запустить их с
apt-get -s dist-upgrade | grep "^ Inst" | grep -i securi | awk -F "" {'print $ 2'} | xargs apt-get install
Да, обновлять все принято. Вы знаете, насколько беспорядочным будет администрирование, если вы будете сдерживать случайные пакеты в своей среде?
Решение состоит в том, чтобы выполнить все обновления в промежуточной среде и протестировать все, чтобы убедиться, что все по-прежнему работает, прежде чем переходить к продукту.