Aktualizować, czy nie aktualizować, oto jest (odwieczne) pytanie. Na systemie, gdzie działa blog wychodzę z założenia, że aktualizować. Nie jest to żaden krytyczny system, problemy z unattended-upgrades są rzadkie. Za to aktualizacje bezpieczeństwa są całkiem częste, więc po co pilnować tego i co chwila klepać apt update && apt upgrade, skoro może się zrobić samo?
Jednak wczoraj sprawdziłem maile i okazało się, że jest wiadomość, że blog leży. Od godziny szóstej z małymi groszami. Przemknęło mi przez myśl, że może jakiś błąd monitoringu, albo zablokowałem im IP (tzn. ktoś ich dopisał jako złośliwe IP, a korzystam z blokad). Jednak otwarcie bloga w przeglądarce potwierdziło. Backendu nie ma, błąd 502, zła brama.
„Równa” godzina podpowiadała, że to jednak coś automatycznego. No i faktycznie, spojrzałem w konfig nginx, powinien korzystać z php-fpm 8.3. A tymczasem takiej wersji w systemie nie ma. Choć była, bo konfiguracje zostały[1]. Za to jest php-fpm 8.4. Cóż, szybka poprawa konfiguracji nginx, by korzystał z nowej wersji, dostosowanie konfiguracji PHP, doinstalowanie brakujących pakietów (np. obsługa mysql) i… działa.
Trochę nie dawało mi spokoju co się dokładnie stało, więc jak tylko miałem chwilę, sprawdziłem logi unattended-upgrades. A tam:
2025-04-03 06:08:19,883 INFO Packages that will be upgraded: php-common php-fpm
2025-04-03 06:08:19,883 INFO Writing dpkg log to /var/log/unattended-upgrades/unattended-upgrades-dpkg.log
2025-04-03 06:08:54,101 INFO All upgrades installed
2025-04-03 06:09:11,494 INFO Packages that were successfully auto-removed: php8.3-cli php8.3-fpm php8.3-opcache php8.3-readline
Zagadki nie ma, żadnej, wszystko jest w zależnościach pakietu php-fpm:
Package: php-fpm
Depends: php8.4-fpm
Dodam jedynie, że problem wynika w tym przypadku z wykorzystania nieoficjalnego repozytorium, z nowszymi wersjami PHP packages.sury.org. W waniliowym Debianie wszystko by działało. Ale PHP byłoby w wersji 8.2. W sumie nie jest to jakaś wielka różnica – kiedyś była większa. Możliwe, że wrócę do waniliowego Debiana… Tym bardziej, że wkrótce wydanie kolejnej wersji stabilnej.
UPDATE: Po krótkim namyśle stwierdziłem, że nie ma na co czekać na nowe wydanie i wróciłem do waniliowego Debiana już teraz. Zresztą przy aktualizacji i tak jest zalecane usunięcie pakietów z 3rd party repozytoriów…
[1] Debian przy usuwaniu pakietu zwykle nie usuwa jego konfiguracji.
Bardzo lubię korzystać z aktualnych wersji, przez co porzuciłem LTS na rzecz „normal” i bardzo lubię mieć aktualny soft. Nigdy jednak nie korzystałem z automatycznych aktualizacji. Szczerze – wolę widzieć, co się instaluje i jak się wykrzaczy, móc cofnąć. Przy automatycznych może minąć sporo czasu, nim w przypadku malinki w ogóle się zorientuje, ocb i będzie chciało mi się za to zabrać. A jak robię update z palca – naprawiam od razu.
Aktualny czy najnowszy? Dla mnie jeśli coś działa, jest wspierane i bezpieczne, to może zostać. Chyba, że faktycznie brakuje mi jakiejś funkcjonalności, którą chciałbym mieć. W przypadku serwera z rzeczy, które przychodzą mi do głowy to chyba było to jedynie w pewnym momencie HTTP/2 w nginx.
W zastosowaniach serwerowych raczej nic się nie krzaczy przy aktualizacjach. Zresztą w Debianie są tylko aktualizacje bezpieczeństwa, backportowane do wersji z dystrybucji. Nie żeby czasem nie było awarii, bo kojarzę wtopę i w Debianie, i w Ubuntu. Ale to rzadkość typu raz na wiele lat.
Jeśli chodzi o „co się instaluje” to są z tego logi. I można sobie wybrać, które rzeczy mają się nie aktualizować automatycznie, jeśli mamy coś wrażliwego. Ręczna aktualizacja zmienia jedynie to, że możesz reagować od razu.
Ale tak, jak miałem jeden system czy dwa, to też robiłem ręcznie. Teraz praktycznie wszędzie pcham automatyczne, ale też systemów jest więcej, niż kiedyś.
> Aktualny czy najnowszy?
Both of them. Był okres, że korzystałem z LTS i tylko aktualizowałem do najnowszych paczek i system aktualizowałem. Ale od jakiegoś czasu korzystam z najnowszej wersji i aktualnych paczek (regularne update).
>W zastosowaniach serwerowych raczej nic się nie krzaczy przy aktualizacjach.
No „raczej” rzadko się zdarza, że coś się wykrzaczy, ale jak już się trafi to z przytupem :). Oczywiście nie jest to też tak, że co update to jest to jego wina. Zdarzyło mi się, że sam się na SSH kiedyś zablokowałem na firewallu, czy np. nadpisałem config przy update. Takich problemów stricte po update, co była to typowo ich wina, miałem na serwerowej wersji może 2.
> Nie żeby czasem nie było awarii, bo kojarzę wtopę i w Debianie, i w
> Ubuntu. Ale to rzadkość typu raz na wiele lat.
O, to, to! 🙂
> Ale tak, jak miałem jeden system czy dwa, to też robiłem ręcznie.
> Teraz praktycznie wszędzie pcham automatyczne, ale też
> systemów jest więcej, niż kiedyś.
Sądzę, że zrobiłbym podobnie. Aktualnie jak mam tylko na PC + rpi, które administruję, to poniekąd taki update to przyjemność. Lubię wiedzieć, że klikam, że się instaluje…
ad.4
Pod tym względem uwielbiam aktualizację swojego opnsense i nową zabawkę w postaci proxmox