nur security updates mit apt updaten

[__Area__]

Hi,

ich bin auf der Suche nach einer Möglichkeit, per apt ausschließlich die Securitypatches zu installieren, bzw. auflisten zu lassen.

Kann mir da jemand helfen ??

danke

Area

[Snoopy]

Hi

Nun lass ausschliesslich die Server bzgl den Security-Patches aktiv in der

Code: Alles auswählen

/etc/apt/sources.list

Bei Bedarf die anderen dann wieder ( z.b. auskommentieren ) aktivieren...

Bedenke, nach jeder Änderung der

Code: Alles auswählen

/etc/apt/sources.list

ist ein

Code: Alles auswählen

apt-get update

fällig

[__Area__]

Danke für den Tip, aber gibt es eine möglichkeit es anders zu machen. Ich müsste sonst auf ca. 40 Servern jedes mal kommentieren und wieder auskommentiern.
Das würde ewig dauern.

Mfg Area

[Mr_Snede]

Trage in die Datei /etc/apt/sources.list nur die Einträge für die security updates ein (bzw kommentiere alle anderen mit einer Raute # am Zeilenanfang aus)


Im Wiki ist unter Software Verwalten auch eine sources.list erklärt:
http://wiki.debianforum.de/SoftwareVerwalten
Du kannst im Prinzip die Minimale nehmen und vorletzte Zeile auskommentieren (oder löschen) und nur die Zeile in der "security.debian.org" enthalten ist stehen lassen

Danach ein beherztes

Code: Alles auswählen

apt-get update

um die neuen Paketlisten einzulesen und ein

Code: Alles auswählen

apt-get upgrade

um die Aktualisierungen auszuführen.


edit:
och menno - zu langsam

Zum verteilen:
entweder du bastelst dir ein Script, das die Server ihre sources.list mit einer Zentralstelle abgleichen bevor sie ein Update durchführen oder du kannst dir einen Mirror für Debianpakete einrichten, der dann für alle Server die Pakete oder updates bereithält.
(ohne eigene Erfahrung zB mit approx, apt-proxy gefunden mit: apt-cache search apt-)

[Snoopy]

Danke für den Tip, aber gibt es eine möglichkeit es anders zu machen. Ich müsste sonst auf ca. 40 Servern jedes mal kommentieren und wieder auskommentiern.
Das würde ewig dauern.

Lege Dir doch 2 Dateien an

Code: Alles auswählen

/etc/apt/sources.list_security

Code: Alles auswählen

/etc/apt/sources.list_alle

und kopiere Dir immer die benötigte rüber

Code: Alles auswählen

cp /etc/apt/sources.list_security /etc/apt/sources.list && apt-get update

oder

Code: Alles auswählen

cp /etc/apt/sources.list_alle /etc/apt/sources.list && apt-get update

[blackm]

Von den Web- und Mailservern weggeschoben.

bye, Martin

[armin]

In Sarge ändert sich doch eh nichts außer Security-Updates, oder sehe ich das falsch?
Ohne explizites Installieren bekommst du also auch keine neuen Pakete AFAIK...

[__Area__]

In Sarge ändert sich sehr wohl was. Deswegen die RC1, RC2, ... usw.
Ich habs jetzt mit einer zweiten sources.list gemacht. Hat auch soweit funktioniert. Danke !
Es würde mich aber trotzdem interessieren ob man apt nicht einfach eine sources.list per Commandline übergeben kann. In den man-pages habe ich auf die schnelle nichts gefunden.

mfg und vielen Dank
__Area__

[__Area__]

@blackm: Sorry, wusste nicht genau wohin mit dem Post.

[gms]

In Sarge ändert sich sehr wohl was. Deswegen die RC1, RC2, ... usw.

würde aber auch nicht davon ausgehen, daß hier keine sicherheitsrelevanten Änderungen drinnen sind

[KBDCALLS]

In Sarge ändert sich sehr wohl was.

mfg und vielen Dank
__Area__

R1 R2 usw. sind doch nur die Secrity-updates zusammengefasst. Es änderst sich nichts an Sarge außer das da von Zeit die Security updates einfließen und nen geupdatetes Release von Sarge herausgeben wird. .

[gms]

R1 R2 usw. sind doch nur die Secrity-updates zusammengefasst. Es änderst sich nichts an Sarge außer das da von Zeit die Security updates einfließen und nen geupdatetes Release von Sarge herausgeben wird. .

hauptsächlich kommen Security Updates rein, es können aber auch andere wesentliche Bugs behoben werden

[armin]

Die Hautsache ist aber, dass ein Update eigentlich nie etwas in dem Maße ändert (ändern sollte), so dass man danach schlechter da steht, als vorher.

[KBDCALLS]

Mozilla ist so ein Fall, weil sich dessen Security Fixes nicht sinnvoll zurückportieren lassen, bzw. wenn mans versucht eine nicht mehr laufende Version dabei herauskommt.

[Aresius]

Prinzipell gibt es einen eleganteren Ansatz mit apt als das Ändern der sources.list: Pinning

Man kann in der Datei /etc/apt/preferences den Paketen nach verschiedenen Kriterien sogenannte Pin-Priorities zuordnen. Das sollte prinzipiell in 'man apt_preferences' erklärt sein, ist dort aber leider lücken- und fehlerhaft. Ich weiß auch nicht wie gut es mit apt aus sarge klappt, mit etch habe ich es hier ganz brauchbar laufen.

Für Deinen Anwendungsfall müsste /etc/apt/preferences etwa so aussehen:

Code: Alles auswählen

Explanation: This file seems to be ignored if APT::Default-Release is set
Explanation:
Explanation:
Explanation: Never install packages from normal ftp automatically
Package: *
Pin: origin ftp.de.debian.org
Pin-Priority: -1

Explanation: Never install packages from XYZ automatically
Package: *
Pin: origin XYZ
Pin-Priority: -1

Das ordnet den Versionen von Paketen die von ftp.de.debian.org installiert würden die Pin-Priority '-1' zu, was soviel bedeutet wie 'nie von APT automatisch auswählen'. Das gleiche für XYZ (müsstest für alle ausser security.debian.org machen)
Installierte Versionen bekommen Pin-Priority 100.
Alle nicht installierten Versionen auf die keine Regel trifft bekommen 500 oder 900, jenachdem ob sie zum angegebenen target release gehören oder nicht.

Aus Beobachtung und Test:
- Damit preferences überhaupt ausgewertet wird darf APT:Default-Release NICHT gesetzt sein. (Gleichen Effekt kann man auch mit Pins erzielen)
- Die Pins müssen vermutlich in aufsteigender Reihenfolge in preferences gesetzt werden.
- Es kann immer nur * oder ein vollständiger Paketname angegeben werden, Masken für Namen sind nicht möglich

Viel Erfolg