unattended_upgrades: Unterstützung für Ubuntu, Fix für Update-Installation

[citronalco]

• Füge unattended_upgrades-Konfiguration für Ubuntu hinzu. In der unattended_upgrades-Konfiguration war bisher nur die Konfiguration für Debian vorhanden. Unter Ubuntu wurden keine Pakete aktualisiert.

• Installiere Updates sofort und nicht erst bei Neustart. Bisher war konfiguriert, dass Updates erst bei einem Neustart installiert werden (Unattended-Upgrade::InstallOnShutdown "true";). Problem: Wenn keine Pakete installiert werden, dann legt unattended-upgrades die Datei /var/run/reboot-required nicht an, und dann wird auch kein Reboot durchgeführt - bei dem Updates installiert werden würden. Falls ich mich nicht täusche (und das passiert leider oft) wurden bisher also weder automatisch Updates installiert noch automatisch neu gestartet, sondern nur dann automatisch Updates installiert, wenn manuell neu gestartet wurde.

• Beschränke automatisches Updates auf Security-Updates. Das schließt bei Debian seit Squeeze auch Backports mit ein. Bisher wurde eigentlich alles automatisch aktualisiert solange es nur direkt von Debian kam ("origin=Debian" in der Konfigurationsdatei).

[HellMar]

Installiere Updates sofort und nicht erst bei Neustart. Bisher war konfiguriert, dass Updates erst bei einem Neustart installiert werden (Unattended-Upgrade::InstallOnShutdown "true";). Problem: Wenn keine Pakete installiert werden, dann legt unattended-upgrades die Datei /var/run/reboot-required nicht an, und dann wird auch kein Reboot durchgeführt - bei dem Updates installiert werden würden. Falls ich mich nicht täusche (und das passiert leider oft) wurden bisher also weder automatisch Updates installiert noch automatisch neu gestartet, sondern nur dann automatisch Updates installiert, wenn manuell neu gestartet wurde.

Das ist Historisch gewachsen. Wir haben eine Zeit lang als sich ständig irgendwelche Dienste unerklärliche weise nicht mehr Funktionierten und ein Reboot immer Abhilfe brachte, unsere Gateways einmal die Woche automatisch neu gestartet. Daher die installation bei Shutdown. Das ist dann beim abschaffen des Wöchentlichen Reboots wohl nicht bedacht worden.

Beschränke automatisches Updates auf Security-Updates. Das schließt bei Debian seit Squeeze auch Backports mit ein. Bisher wurde eigentlich alles automatisch aktualisiert solange es nur direkt von Debian kam ("origin=Debian" in der Konfigurationsdatei).

Können wir das Vlt. Konfigurierbar machen? Dann kann man die Rolle auch für andere Dienste verwenden bei denen man ggf. nicht so oft auf Updates guckt. Wir haben da Round About 50 Systeme die ich aktuell noch nebenbei bei der Arbeit manuell Update und das dauert dann schon mal son paar stunden... :grimacing:

[citronalco]

@HellMar Willst du das Global oder pro Host konfigurierbar haben?

[MPW1412]

Da man ggfs. unterschiedliche Basissysteme verwendet, tendiere ich zu pro Host.

[HellMar]

@HellMar Willst du das Global oder pro Host konfigurierbar haben?

Wo ist der unterschied? :thinking: Wenn ich die Variable dazu in die group_vars/all eintrage ist es Global. Trage ich es in die host_vars/$hostname ein ist es per Host oder übersehe ich was? (Kommt durchaus vor :stuck_out_tongue: )

[citronalco]

Über die Variable "unattended_upgrades" können jetzt zusätzliche "origins-pattern" angegeben werden:

unattended_upgrades:
    origins_pattern:
    - "origin=Debian,codename=buster,label=Debian"
    - "origin=deb.nodesource.com"

Hier werden z.B. sämtliche Debian-Updates installiert auch wenn sie nicht sicherheitsrelevant sind, und es werden alle installierten Pakete, die aus dem Repository deb.nodesource.com stammen, aktualisiert.

Zusätzlich habe ich die Doku als README.md hinzugefügt.