Unattended upgrades astra linux

Содержание

Samba
Montfer
gmaximko
Montfer
Olej
Теория и практика unattended upgrades в Ubuntu
Применение для репозитория/PPA
Дополнительные возможности
Выводы
Автоматическое обновление безопасности в OC Linux.

Samba

Пришло это чудо техники, с установленной СЕ 2.12.4 (Орел).
Сразу скажу, что с это мое первый опыт с Астрой, до этого была лишь Убунту. Перечитал много разных форумов и сайтов, решил начать. Расшарить папку, для начала.
Как я понял в ветке ниже, Самба по умолчанию не устанавливается. Выполнил:
# apt install fly-admin-samba
а также другие разные варианты, итог один и тот же — не устанавливается. Пишет что не находит пакет.
Причем, каталог в etc есть, но в панели управления-сеть нет. Вписывал в .conf строку (disable netbios = no) — сеть с самбой в менеджере не появилась.

Отсюда вопрос, как поставить самбу? и вообще что либо? Пробовал поставить cifs-utils, тоже не вышло.

Montfer

New member

gmaximko

New member

Я в итоге установил пакеты через менеджер пакетов Synaptic и расшарил папку, как и запланировал. Но все равно, через командную строку пока не понятно как установить пакеты. что-то я делаю видимо не так)

еще один вопрос, Самбу установил, но в Моем Компьютере, вкладки Сеть и расшаренной папки нет, как на всех скринах в мануалах. Здесь есть какие-то идеи, что я не так сделал?

Montfer

New member

По идее, если у вас есть доступ в интернет, через терминал после apt update можно было ставить пакеты.
Почему нет вкладки сеть — не могу сказать, не сталкивался с этим. Хотя иногда после перезагрузки пк появляются ярлыки в меню.
Если и после перезагрузки не появится, то вроде как можно запустить через терминал, введя fly-admin-samba
И у меня через него ни разу не получилось расшарить. Только через терминал. Хотя и сам хреновый пользователь линукса

Olej

New member

Не может GUI менеджер Synaptic ничего сверх того, что могут apt, apt-get, aptitude.
В Linux/UNIX вообще графические приложения, GUI — это только обёртки для консольных эквивалентов — это радикальное отличие от Windows.
Вон сколько связаннях с SAMBA пакетов должно быть у вас в системе (посмотрите у себя):

olej@astra:~$ aptitude search smb p fusesmb - клиент протокола передачи файлов SMB в виде обычной файловой системы p fusesmb:i386 - клиент протокола передачи файлов SMB в виде обычной файловой системы . p smb-nat - Netbios Auditing Tool p smb-nat:i386 - Netbios Auditing Tool p smb2www - SMB/CIFS network client with a web interface p smb4k - Samba (SMB) share advanced browser p smb4k:i386 - Samba (SMB) share advanced browser p smbc - samba-commander - curses based samba network browse p smbc:i386 - samba-commander - curses based samba network browse i A smbclient - command-line SMB/CIFS clients for Unix p smbclient:i386 - command-line SMB/CIFS clients for Unix p smbios-utils - Provide access to (SM)BIOS information -- utility b p smbios-utils:i386 - Provide access to (SM)BIOS information -- utility b p smbldap-tools - Scripts to manage Unix and Samba accounts stored on i A smbnetfs - файловая система для сетевых серверов и ресурсов SM p smbnetfs:i386 - файловая система для сетевых серверов и ресурсов SM .

Если у вас нет aptitude — доустановите через apt — пригодится.
Но можете так посмотреть (там много вывода):

olej@astra:~$ apt search samba Сортировка… Готово Полнотекстовый поиск… Готово argonaut-samba/stable,stable 1.0-1 all Argonaut scripts to generate Samba share configurations astra-sambadc/stable 0.8-1 all script create samba-ad-dc config .

Источник

Теория и практика unattended upgrades в Ubuntu

Unattended upgrades — это родной для Debian/Ubuntu (и других основанных на них дистрибутивов GNU/Linux) механизм автоматических обновлений. По умолчанию он включён в системе благодаря наличию установленного пакета unattended-upgrades и конфигурационного файла /etc/apt/apt.conf.d/50unattended-upgrades , а настроен на обновления пакетов только из security-репозитория, куда попадают, например, критичные исправления для пакета libssl, которые выходят в результате очередного пополнения базы уязвимостей CVE.

Примечание: здесь и далее рассматриваются unattended upgrades в контексте серверных редакций Ubuntu, что скорее всего применимо «как есть» и к другим дистрибутивам, но могут встречаться свои особенности, оставшиеся вне рамок статьи.

Итак, какие дополнительные возможности предоставляют unattended upgrades (помимо включённых по умолчанию security updates) и к каким проблемам они могут привести?

Слово «unattended» в названии этого механизма действительно важно в его буквальном переводе — «без присмотра». Почему так? Достаточно вспомнить, что пакеты при установке генерируют файлы .dpkg-new , в которых оказывается новый конфиг для пакета (если контрольная сумма конфига в устанавливаемой пакете отличается от контрольной суммы конфига в системе). Это обстоятельство стоит учитывать, потому что иначе можно получить новую версию софта, которая больше не работает с опцией, добавленной вами в конфиг, и после установки пакета сервис/приложение просто не запустится. Поэтому, собирая или заимствуя пакет в свой репозиторий, помните, что установка такого пакета не обновит конфиги сама, так что, например, если конфиги версий не совместимы (что актуально в случае более значимого обновления, чем исправление в безопасности), может получиться очень неприятная ситуация, когда все давно уже спят, а ваш пакет выкатился на куче серверов и «Всё сломалось, шеф!».

К слову о времени срабатывания unattended upgrades пакетов: проверка обновлений и их установка в системах Ubuntu/Debian определяется в /etc/cron.daily/apt . Файл запускается из /etc/crontab , в котором по умолчанию задано раннее утро (06:25).

Применение для репозитория/PPA

Перейдём к практике. У нас была следующая проблема: один пакет устанавливался на все серверы, но не в родной его версии, а с определенными модификациями. Что делать? Очевидные варианты:

Unattended-Upgrade::Allowed-Origins < "Origin:Suite"; >;

Если у вас свой репозиторий, то слова Origin и Suite должны как минимум вызывать ассоциации из разряда «Где-то я уже это видел…». Подскажу, что такие параметры можно увидеть у репозитория на самой машине, где должен обновляться пакет, в файле *_InRelease . Иллюстрация для хорошо известной ppa:nginx/stable :

$ head -10 /var/lib/apt/lists/ppa.launchpad.net_nginx_stable_ubuntu_dists_trusty_InRelease -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 Origin: LP-PPA-nginx-stable Label: NGINX Stable Suite: trusty Version: 14.04 Codename: trusty Date: Sat, 11 Feb 2017 21:55:33 UTC Architectures: amd64 arm64 armhf i386 powerpc ppc64el

Origin — «происхождение» репозитория, что может указывать на имя мейнтейнера или самого репозитория;
Suite — ветка дистрибутива; например, stable, testing для Debian или trusty, xenial для Ubuntu.

Таким образом, если у вас свой репозиторий пакетов, нужно добавить эти параметры. В результате, для данного примера с PPA nginx/stable конфигурация, разрешающая unattended upgrades для всех пакетов из него, будет выглядеть следующим образом:

Unattended-Upgrade::Allowed-Origins < "LP-PPA-nginx-stable:trusty"; >;

Эти настройки логично автоматизировать (тем методом, который вам наиболее близок и/или уже используется), создавая все необходимые конфигурационные файлы при разворачивании новых инсталляций ОС. А проверить, как себя поведёт очередной запуск unattended upgrades, можно следующим образом:

$ unattended-upgrade -v --dry-run

Флаги здесь простые: -v — быть более многословным, а —dry-run — не применять изменения. При пробном запуске мы сразу увидим, что у этого решения могут быть обратные стороны:

Дополнительные возможности

В /etc/apt/apt.conf.d/50unattended-upgrades можно увидеть, что ещё умеют unattended upgrades. Настроек не так много, но некоторые из них полезны:

Package-Blacklist — список пакетов, которые запрещено обновлять подобным способом. Тут же нам в примере сразу предлагают это сделать для libc, а выше описан другой пример — с PostgreSQL. Но помните, что на другой чаше весов: откладывая критичные исправления, вы рискуете безопасностью.
AutoFixInterruptedDpkg — если последний процесс установки/обновления не смог завершиться по каким-либо причинам, вероятно, вам приходилось исправлять ситуацию вручную. То же самое делает и эта опция, т.е. вызывает dpkg —force-confold —configure -a . Обратите внимание, что здесь указана опция —force-confold — она означает, что будут сохранены старые версии конфигов, если возникнут конфликты.
MinimalSteps — выполнять обновления минимально возможными частями. Позволяет прервать обновление отправкой SIGUSR1 процессу unattended-upgrade.
InstallOnShutdown — устанавливать обновления перед выключением компьютера. Лично мне кажется плохой идеей, т.к. не хотелось бы получить труп после плановой перезагрузки сервера.
Mail и MailOnlyOnError — кому отправлять письма об обновлениях и/или проблемах с ними. Письма отправляются через стандартный MTA sendmail (используется переменная окружения SENDMAIL_BINARY ). К сожалению, только письма, а выполнять curl к какому-то API здесь нельзя.
Automatic-Reboot — перезагружать автоматически после окончания установки, если есть файл /var/run/reboot-required . Сам файл появляется, например, после установки пакета ядра Linux, когда срабатывает правило /etc/kernel/postinst.d/update-notifier . В общем, ещё одна опция из набора «грязного Гарри».
Automatic-Reboot-Time — если вы хотите сделать свои тёмные дела ночью, пока никто не видит… задаёт конкретное время автоматической перезагрузки.
Acquire::http::Dl-Limit — это уже из общего набора параметров apt. Ограничивает скорость загрузки обновлений, чтобы не забить канал.

Читайте также: Kali linux nord vpn

Выводы

Unattended upgrades — инструмент автоматической установки обновлений, встроенный в дистрибутивы на базе Debian и Ubuntu. Обычно его используют для установки обновлений безопасности (security updates) из соответствующего репозитория, но легко расширить применение и на любые другие репозитории. Инструмент будет полезен для поддержки простых в установке и обновлении программ и скриптов, собранных в пакеты, — для реализации требуется лишь собственно репозиторий и несколько строк в конфиге на обновляемой машине.

Но помните, что простота инструмента ещё не значит, что вы не ударите им себе по пальцам: не настраивайте автоматические обновления сложных или критичных сервисов, если вы не уверены на 100 % в безопасности этого действия и это никак не повлияет на продолжительность сна вас и ваших коллег.

Источник

Автоматическое обновление безопасности в OC Linux.

По умолчанию в Linux машинах автоматическое обновление отключено. Это сделано для того, чтобы пользователи имели полный контроль за машиной. Однако включить автоматическое обновление можно. Конечно не все компоненты нужно обновлять,тем более автоматически. Но обновления безопасности конечно надо делать регулярно. В этом нам поможет пакет unattended-upgrades.

apt-get install unattended-upgrades

По умолчанию настроено обновление только безопасности , но мы сделаем еще пару изменений в конфигурационном файле.

nano /etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Package-Blacklist < // "vim"; // "libc6"; // "libc6-dev"; // "libc6-i686"; >;

Сюда мы можем внести названия пакетов которые не нужно обновлять. К стати // закоментированные строчки.

//Unattended-Upgrade::Mail "exempel@mail.com"; Отправка почтового уведомления. //Unattended-Upgrade::MailOnlyOnError "true"; Только если есть Ошибки.

Не забываем удалять старые пакеты:

//Unattended-Upgrade::Remove-Unused-Dependencies "true"; (equivalent to apt-get autoremove)

Запрещаем автоматическую перезагрузку:

//Unattended-Upgrade::Automatic-Reboot "false";

Теперь нам надо настроить автоматическое обновление, для этого есть у нас файл /etc/apt/apt.conf.d/20auto-upgrades. Если его вдруг нету то не пугайтесь , выполняем команду:

dpkg-reconfigure -plow unattended-upgrades

Ну а теперь проверим работу нашего пакета:

unattended-upgrades -v

Denian. На других Linux дистрибутивах установка может отличаться.

Ошибка в тексте? Выделите её и нажмите «Ctrl + Enter»

Источник