Petit rappel : Bloquer/débloquer la mise à jour d'un paquet

Mise à jour du 23/01/2015 :

J’ai demandé à Raphaël Hertzog (développeur Debian) ce que nous pouvions faire en tant qu’utilisateur pour faire avancer les choses concernant le paquet nagios-nrpe-server.

« Je ne suis pas forcément d’accord avec le mainteneur mais je peux comprendre sa position.

Vu qu’il a quasi-abandonné le paquet, le mieux serait de trouver un autre mainteneur plus compréhensif.

Sinon on peut aussi contester la décision auprès du comité technique de Debian mais c’est sortir l’artillerie lourde que d’en arriver là. https://www.debian.org/devel/tech-ctte.fr.html

L’idéal serait sûrement d’améliorer nagios-nrpe-server pour qu’il ne représente pas un tel risque de sécurité avec la gestions des arguments. Peut-être en restreignant les valeurs autorisées (interdiction des caractères spéciaux du shell notamment) ?

C’est peut-être une discussion à initier avec les auteurs amont. »

Je remercie Raphaël d’avoir éclairci les pistes et recours possibles dans ce genre de cas.


Ça fait jamais de mal un petit rappel et puis ça sert tous les 6 mois et puis j’ai un lien rigolo à vous fourguer.

Tout a commencé par l’installation d’une Debian Testing (oui le contexte est important pour le lien rigolo), j’en avais besoin pour l’installation d’OpenSMTPD (qu’il est bien mangez-en !). Le besoin est minime juste un relais ce qui explique que je peux me permettre d’avoir une Debian Testing en prod.

Bref, le tout fonctionne et je m’en vais grâce à Ansible installé tous mes paquets communs à mes serveurs. Et là, c’est le drame, je n’ai pas mes remontées d’informations sur mon nagios-like. Après quelques recherches, je me rends compte que le paquet nagios-nrpe-server pose problème en Testing et je tombe sur ce lien rigolo : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=756479

Je ne suis pas un monstre et tout le monde ne connaît pas NRPE, Nagios, l’Anglais, je vous explique :
– Nagios est un logiciel qui permet de monitorer des serveurs et équipements (ping, RAM, espace disponible sur le disque dur, uptime etc.)
– NRPE c’est ce qu’on appelle la sonde, c’est le logiciel qui communique avec Nagios et envoie ces informations au serveur Nagios. NRPE est installé sur les serveurs « clients » qui envoie les informations au « serveur » Nagios
– Afin de monitorer finement les clients, on a la possibilité d’envoyer des arguments. C’est quoi un argument ? C’est -w 80 (warning : 80%) et -c 90 (critical : 90%) par exemple. On a ainsi une alerte warning si le disque est plein à 80% et une alerte critical si le disque est plein à 90% (exemple toujours). On comprends aisément qu’il faut selon les serveurs « clients » modifier ces valeurs. Ainsi j’ai des serveurs où le -w est à 95
– Le lien rigolo dit que pour des raisons de sécurité le paquet est compilé sans l’option –enable-command-args donc sans la possibilité d’activer l’option dont_blame_nrpe=1. En Français, il n’est pas possible d’envoyer des arguments aux clients ! Le Maintainer (je laisse l’anglais) Alexander Wirt dit que ça ne changera pas et que c’est dans le fichier de News Debian et à cause de problèmes de sécurité. Il dit également « As said, feel free to take over the work. I never wanted to maintain nrpe, it just happened. » et « Consider nrpe orphaned. I won’t touch it again. » et aussi « P.S. my offer to give the package to someone else is of course still valid ». Si un développeur Debian passe par là, il faut l’aider, merci pour lui
– Revenons à nos moutons, dans l’absolu le paquet nagios-nrpe-server de Debian Testing ne sert plus à rien. En gros vous avez le choix entre ON/OFF, pour du monitoring c’est un peu court. La seule possibilité offerte est de recompiler le paquet avec l’option –enable-command-args et ceci évidemment à chaque nouvelle version du paquet, merci mais non merci

Certains crieront au scandale et ne jureront que par la compilation, je n’aime pas compiler. Je suis allé ici, j’ai téléchargé le paquet puis je l’ai installé avec dpkg -i. Oui mais dès que vous faites aptitude upgrade, il vous propose d’installer la version de Debian Testing. Il y a une solution pour cela.

Bloquer la mise à jour d’un paquet.

echo "nagios-nrpe-server hold" | dpkg --set-selections

Débloquer la mise à jour d’un paquet.

echo "nagios-nrpe-server install" | dpkg --set-selections

Voir la liste des paquets bloqués.

dpkg --get-selections | grep hold

Vous avez d’autres solutions pour bloquer la mise à jour du paquet : le pinning, aptitude hold/unhold, apt-mark (je vous conseille la lecture de ce lien). J’ai donné celle que je préfère car c’est la seule que je retiens. Correctement noté dans la documentation du S.I et l’historique du serveur, votre successeur saura prendre le relais. Et je suis sûr qu’un jour mon prince développeur Debian viendra nous arranger tout cela ;)

Déjà un avis pertinent dans Petit rappel : Bloquer/débloquer la mise à jour d'un paquet :

Les commentaires sont fermés.