20-06-2021, 11:13
0
Technicznie to powinno się analizować aktualizowane pakiety. Zamiast robić aktualizacji raz na miesiąc, lepiej jest robić aktualizację co dzień czy co drugi dzień, tak by tych pakietów aktualizowanych było relatywnie mało, co z kolei może przyczynić się do prostszej analizy problemów wynikających z samej aktualizacji -- mniej pakietów, to mniejszy krąg podejrzanych. W linux'ach jest mechanizm unattended-upgrades, który zajmuje się ogarnianiem automatycznych aktualizacji pakietów pod kątem bezpieczeństwa bez nadzoru użytkownika. Co do samego kernela, to zwykle aktualizacja tego samego numereka (np. 5.11.x czy 5.12.x) nie powinna sprawiać problemów, choć ostatnio częściej sprawia. Zwykle jednak w systemie są dwa kernele (ten zaktualizowany i ten wcześniejszy), więc jak coś się złego dzieje, to reboot i ładujesz ten, na którym było wszystko ok. Generalnie to z aktualizacjami jest tak, że trza się tego nauczyć, by uniknąć problemów z nimi związanymi. Mi to zajęło parę lat ale teraz za to ogromną większość pakietów, które mam w systemie (około 2777) wiem od czego jest i jak się coś po aktualizacji schrzani, to wiem, który pakiet jest winny albo chociaż co może sprawiać problemy. Do tego jest też apt-listbugs, który zwykle jest w stanie zatrzymać aktualizację jeśli ktoś wcześniej zgłosił problemy z danym pakietem, co jest bardzo użyteczne, choć jak ktoś korzysta z unstable/experimental (np. ja), to ten mechanizm zwykle trigeruje za późno (dzień czy dwa), bo te problematyczne pakiety już się zdążą zainstalować. Tak czy inaczej to jest on bardzo pożyteczny. Trza też się zapisać na listę mailingową związaną z bezpieczeństwem (na debianie jest debian-security-announce) i tam trafiają wszelkie informacje o problemach z bezpieczeństwem konkretnych pakietów. To tak z grubsza.