On m’a récemment demandé s’il existait un outil Debian pour vérifier qu’un ensemble de paquets dérivés de Debian intègrent bien les dernières mises à jour de sécurité. L’idée est d’avoir un fichier listant l’ensemble des paquets personnalisés avec les versions qui ont servi de base aux paquets personnalisés et d’avoir un outil qui va vérifier automatiquement security.debian.org pour voir si de nouvelles versions sont disponibles.
Ma première réponse était de regarder famke un petit script python écrit par James Troup pour les besoins de l’équipe DSA de Debian: il prévient par mail lorsque des mises à jour sont possibles et essaient de les rapprocher avec le fil RDF des mises à jour de sécurité.
J’ai donc repris le principe et réalisé un petit script python un peu plus souple dans la mesure où il ne vérifie pas si les paquets installés peuvent être mis à jour mais si les paquets listés dans un fichier (que j’ai appelé watchlist) peuvent être mis à jour à partir d’un ensemble de dépôts APT que l’on consigne dans un fichier sources.list personnel.
Il peut servir d’exemples à ceux qui cherchent à employer l’interface « python-apt ». Le script est disponible dans un dépôt Git.
Installation et usage par l’exemple :
$ git clone git://git.debian.org/~hertzog/hacks/checkupdate.git $ cd checkupdate $ vim checkupdate.conf # On change les répertoires pour pointer vers `pwd` $ vim watchlist # On indique les paquets à surveiller et leur version courante $ ./checkupdate checkupdate.conf An update of the package 'rsync' is available: 2.6.9-2etch1 Origin: [component: 'main' archive: 'stable' origin: 'Debian' label: 'Debian-Security' site 'security.debian.org' isTrusted: 'True']
OdyX says
Bonjour,
Pourquoi ne pas utiliser apticron ou cron-apt ?
Buxy says
OdyX, pour la même raison que famke ne convient pas. On ne veut pas surveiller l’état de mise à jour d’un système installé mais celui d’une liste arbitraire de paquets.
Maintenant si ces logiciels ont des options qui permettent cela, alors ils conviennent peut être aussi.
Personnellement pour surveiller l’état de mise à jour de mes machines j’utilise un serveur Nagios et nagios-nrpe-server + check_apt sur chaque machine à surveiller.
erics says
Bonsoir Buxy,
c’est exactement ce que je voulais faire 🙂 un coup de cron et hop c’est partis pour avoir des alertes mails quand il faut qu’on fasse une mise à jour d’un paquet backporté ou dont la branche officielle securité est actualisée !
Merci encore,
la suite par mail privé !
Éric