Когда количество серверов на поддержке переваливает за второй десяток, поневоле начинаешь думать как бы так сделать, чтобы удобные, но очень скучные aptitude update && aptitude upgrade происходили без вмешательства со стороны занятого более творческой работой администратора. В бытность свою молодым джедаем, меня посещала гениальная мысль засунуть эти команды в шедулер. Ничего хорошего из этого, разумеется, не вышло. При желании, конечно, можно написать скрипт автоматизирующий эту задачу, но это уже будет велосипедостроение.

Пакет cron-apt представляет собой утилиту, с помощью которой автоматизируется скачивание, а при желании и установка обновлений. Расскажу как я обычно настраиваю его и apt sources.

Конфигурация apt

Мой /etc/apt/sources.list для серверов в российском сегменте сети выглядит так:

deb http://mirrors.yandex.ru/debian/ etch main contrib non-free

Раньше я указывал на зеркала http://ftp.uk.debian.org/debian/или http://ftp.estpac.ee/debian/, потом перестал. Яндекс, хоть я его и не очень люблю, находится значительно ближе, да и трафиик с него российский.

Кроме основного файла создаётся ещё один или два:

/etc/apt/sources.list.d/security.list:

deb http://security.debian.org/debian-security/ etch/updates main contrib non-free

/etc/apt/sources.list.d/volatile.list:

deb http://volatile.debian.org/debian-volatile/ etch main contrib non-free

Для справки: volatile — это репозитарий, который позволяет обновлять те пакеты из текущей стабильной версии, которые требуют регулярного обновления. Нужен он для того, чтобы не вносить в стабильный репозитарий пакеты, не прошедшие стандартный путь через ветку testing.

Как пример, у меня volatile используется для обновлений clamи spamassassin.

Разумеется, это самый простой случай. Иногда приходится подключатьbackports.org или другие репозитарии, но это уже по месту. В общем случае этих трёх источников достаточно.

Конфигурация cron-apt

Ставится стандартно:

$ sudo aptitude install cron-apt

Конфигурацию имеет довольно гибкую. Параметры подробно описаны в /etc/cron-apt/config. Если оставить его как есть, то будет раз в сутки обновлять списки пакетов и скачивать всё, что нужно для dist-upgrade. Это уже само по-себе приятно. Когда начинаешь апдейтиться вручную пакеты уже готовы, не надо ждать пока они скачаются. Экономит время.

А чтобы автоматизировать ещё и установку, создаётся два файла.

/etc/cron-apt/action.d/4-security:

upgrade -y -o Dir::Etc::SourceList=/etc/apt/sources.list.d/security.list

/etc/cron-apt/action.d/5-volatile:

upgrade -y -o Dir::Etc::SourceList=/etc/apt/sources.list.d/volatile.list

Есть один подводный камень, на который можно наткнуться. Если вы имеете привычку редактировать стандартные конфиги, устанавливаемые пакетами, то при обновлении apt может захотеть слить изменённый конфиг с новым. Я натыкался на такую проблему, когда кроме security и volatileавтоматически обновлялся ещё и из proposed-updates (что и вручную-то делать на продакшн-сервере не фонтан идея). При обновлениях из securityи volatile, за 4 с лишним года использования cron-apt, таких проблем не наблюдал ни разу. Хотя справедливости ради надо сказать, что никаких документов отдельно регламентирующих процедуру автоматического обновления файлов конфигурации мне найти не удалось. Так что проявление таких проблем возможно.

Ещё одна деталь. Если вы любите получать отчёты о всех автоматизированных действиях ваших серверов, то можно сделать вот как.

/etc/cron-apt/conf.d/4-security:

MAILON="always"

/etc/cron-apt/conf.d/5-volatile:

MAILON="always"

Теперь обо всех своих действиях cron-apt будет отчитываться root’у. Параметр «always» можно заменить на «errors», и тогда отчёты будут отправляться только в случае возникновения ошибок.