Konfiguration von unattended-upgrades

[cofxbfzzif]

Ich möchte gerne unattended-upgrades so konfigurieren, dass alle Pakete auf dem neuesten Stand gehalten werden. Es sollen also sowohl Sicherheits- als auch empfohlene Updates ohne Rückfrage installiert werden. Es geht hier um Desktop-Rechner, die nicht permanent laufen. Merkwürderweise konnte ich trotz langer Suche keine gründliche Anleitung finden.

In der Datei /etc/apt/apt.conf.d/50unattended-upgrades müssen wohl gewisse Zeilen auskommentiert werden. Aktuell sehen die relevanten Zeilen so aus:

Code: Alles auswählen

Unattended-Upgrade::Origins-Pattern {
        // Codename based matching:
        // This will follow the migration of a release through different
        // archives (e.g. from testing to stable and later oldstable).
//      "o=Debian,n=jessie";
//      "o=Debian,n=jessie-updates";
//      "o=Debian,n=jessie-proposed-updates";
//      "o=Debian,n=jessie,l=Debian-Security";

        // Archive or Suite based matching:
        // Note that this will silently match a different release after
        // migration to the specified archive (e.g. testing becomes the
        // new stable).
//      "o=Debian,a=stable";
//      "o=Debian,a=stable-updates";
//      "o=Debian,a=proposed-updates";
        "origin=Debian,codename=${distro_codename},label=Debian-Security";
};

Hier ist mir insbesondere unklar, was der Unterschied zwischen n=stretch, n=stretch-updates und n=stretch-proposed-updates ist. Sind dabei jeweils Sicherheitupdates enthalten? Was ist genau die Bedeutung des labels (wie bei label=Debian-Security)?

Der Inhalt der Datei /etc/apt/apt.conf.d/20auto-upgrades sieht Folgendermaßen aus. Ich nehme an, er kann so übernommen werden?

Code: Alles auswählen

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::AutocleanInterval "0";
APT::Periodic::Download-Upgradeable-Packages "0";

[smutbert]

n=stretch oder a=stretch
enthält alle „normalen“ Pakete (soweit ich weiß inklusive der Sicherheitsupdates).

o=Debian,n=jessie,l=Debian-Security"
Mit l=Debian-Security gibt man eine zusätzliche Bedingung vor, in dem Fall eben dass das Label Debian-Security sein muss, was nur auf die Sicherheitsaktualisierungen zutrifft. Das sind also nur die Sicherheitsaktualisierungen, damit zB nur diese Updates automatisch eingespielt werden und man sich um den Rest selbst/manuell kümmern kann.

Pakete, die in der stabilen Version aktualisiert werden sollen, die aber keine Sicherheitsaktualisierungen sind, kommen vorher nach stretch-proposed-updates oder, wenn es besonders wichtige Aktualisierungen sind, nach stretch-updates. (stable-updates und stable-proposed-updates ist dasslebe ohne Codenamen).


Mehr darüber findest du mit dem Suchbegriff "apt pinning". Dazu findet man mehr Dokumentation und dort will man ebenfalls Pakete auf die bestimmte Bedingungen zutreffen auswählen oder bevorzugen und verwendet mit a=..., n=..., o=..., ... dieselben Kriterien.
Was es so alles auf deinem System an a, n, o,... gibt kannst du auch recht leicht selbst herausfinden, entweder ganz allgemein oder bezogen auf ein bestimmtes Paket:

Code: Alles auswählen

$ apt-cache policy
$ apt-cache policy gnome-terminal

[cofxbfzzif]

Vielen Dank, smutbert. Das war sehr hilfreich.

Wenn ich nun einfach alle Pakete aus den Quellen in sources.list auf dem neuesten Stand halten will (analog zu "apt-get update && apt-get dist-upgrade"), kann ich dann einfach eine leere Bedingung angeben, also ""? Oder "o=*", wie ich an anderer Stelle gesehen habe?

[smutbert]

leer lassen oder * wird eher nicht funktionieren, glaube ich, aber ein einfaches "o=Debian" sollte zumindest alle offiziellen Repositories abdecken.

Ich glaube aber nicht, dass das empfehlenswert ist - manchmal benötigen Update eben doch irgendeine Interaktion - vermutlich werden deshalb per default nur Sicherheitsupdates automatisch installiert.

[cofxbfzzif]

Aber unattended-upgrades kann keine anderen Quellen als die in sources.list anzapfen, oder?

[smutbert]

Nachdem es ja selbst apt verwendet, nein.

Welche andere Quelle hättest du denn im Sinn?

[cofxbfzzif]

Achso, ja, richtig, das basiert ja auf apt. War eine etwas dumme Frage...

Danke dir nochmals!