Pull to refresh

Comments 9

НЛО, магическим образом знает, что охота изучить на этой неделе. Автор — спасибо. Доходчиво.
Можно хотя бы один пример security update, который выкатил новую версию, которая приводит к «иначе можно получить новую версию софта, которая больше не работает с опцией, добавленной вами в конфиг»?

За все годы своего администрирования я ни разу не видел в Debian security-фикса, который бы приводил к тому, что софт больше не понимает опцию в конфиге.

И то что вы говорите звучит так, как будто unattended updates сломаны, хотя это не так.

Тяжёлые обвинения требуют серьёзных доказательств, а у вас они не приведены.
Нет тут тяжёлых обвинений. Цитата, которую вы приводите, не утверждает такого в контексте конкретно security updates — она про «вообще». В следующем после неё предложении написано: «Собирая или заимствуя пакет в свой репозиторий, помните…», — а не «Включая/оставляя unattended upgrades для security updates, помните…».
А где у вас про «security updates»? Вот у меня лично сложилось впечатление, что вы пишите это в контексте именно unattended updates.

Более того, я просто не могу иначе интерпретировать написанное. Цитирую:

Итак, какие возможности предоставляют unattended upgrades и к каким проблемам могут привести?



Это обстоятельство стоит учитывать, потому что иначе можно получить новую версию софта, которая больше не работает с опцией, добавленной вами в конфиг, и после установки пакета сервис/приложение просто не запустится.


Как это можно прочитать иначе, чем ругань на unattended я не понимаю.

А ведь вся ваша ругань относится к «использовать не по назначению».
Про «security updates» у нас в самом начале, где рассказывается, что по умолчанию unattended upgrades настроен только на них.

То, что вы называете руганью, таковой тоже не является — ну, я это так не воспринял, например, да и автор, думаю, тоже в виду не имел… Это предупреждение о том, что нужно учитывать, если использовать unattended upgrades не только по умолчанию. И уж точно не «тяжелое обвинение», если читать всё внимательно. В приведённой цитате вы опять упускаете из вида следующее предложение, на которое я уже указал и которое всё уточняет.

На правах редактора исправил «Итак, какие возможности предоставляют…» на «Итак, какие дополнительные возможности предоставляют…». Надеюсь, это снимет возможную двусмысленность для тех, кто читает иначе.

Увы, не панацея: во-первых, некоторые пакеты при обновлении нагло рестартуют соответствующую службу, тот же nginx например, или что гораздо хуже — mysql. И это никак не отключается, потому что гвоздями прибито в postinst. Во-вторых, после обновления то же библиотеки надо рестартить использующий её софт, потому что в запущенных процессах всё ещё используется старая версия.


Но штука безусловно полезная.

> Во-вторых, после обновления то же библиотеки надо рестартить использующий её софт, потому что в запущенных процессах всё ещё используется старая версия.

Так если используется старая — это ещё хорошо :) Хуже, если файл меняется на ходу, а он используется как библиотека. Для основных бинарников это блокируется ядром, для библиотек — не везде. В результате получаем, например, такое (Firefox с обновлённой freetype):

image

Тут уже зависит от поведения менеджера пакетов.

А необходимость рестарта хорошо отображает, например, zypper (из OpenSuSE). «zypper ps» показывает, кого надо перезапустить по мере возможности.
Аналога для apt что-то не видно (из коробки).
Да, про рестарт в статье написано ;-)
[..] это обновления безопасности для PostgreSQL. В стандартной конфигурации Ubuntu Server [..] автоматическое обновление критичных уязвимостей в этой СУБД приводило к её рестарту в то время, когда не все этого ожидали.
Sign up to leave a comment.