Обновление сервера без интернета

[pauls]

Эта тема поднималась много раз но полного решения нет в том числе и на этом форуме

Ситуация следующая: есть глухой (без usb/cdrom/fdd) сервер без выхода в интернет. На нем поднят Ubuntu Server LTS 10.04.01. Архитектура i386. Иксов нет - только консольный режим. Доступ возможен только по SSH.

Задача: настроить регулярное обновление с использованием домашней машины с другой архитектурой и операционкой (Ubuntu Maverik 10.10). Отпадают способы основанные на графическом интерфейсе типа Keryx, APTonCD тоже не приемлим - сервер глухой

Основная трудность возникает с обновлением списка изменений, который получается обычно командой вида

Код: [Выделить]

sudo apt-get update
Перерыл весь интернет, готового решения именно для Ubuntu Server LTS 10.04 не нашел. Есть для старых версий Debian, но там даже структура каталогов другая поэтому буду собирать из отдельных кусков информации (которую нарыл) свой алгоритм обновления.

Как мне представляется логика работы должна быть такой

1) На сервере запускаем команду

Код: [Выделить]

apt-get -y --print-uris update > source.lstполучаем файл вида

Код: [Выделить]

'http://path_1/Sources.bz2' file_name_1 0 :
'http://path_2/Packages.bz2' file_name_2 0 :
'http://path_3/Release.gpg' file_name_3 0 :
...2) копируем полученный файл к себе на клиента командой вида

Код: [Выделить]

scp user@server:/home/user/source.lst ~/source.lst3) записывем его на флешку, тащим в места обетованные, где есть интернет (например домой)
4) дома запускаем скрипт вида

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/bash

FileSource="source.lst"

# если присутствует первый аргумент, то предполагаем, что это список источников обновления
if [ -n "$1" ]
  then
    FileSource=$1
fi

# проверяем наличие файла со списком обновления
if [ ! -e $FileSource ]
  then
    echo -e "нет такого файла " $FileSource "!...\n"
    exit 1
fi

# Дальше надо скачать каждый файл из по адресу из списка ${FileSource}, если это архив то
# распаковать, переименовать в имена представленные в том же файле ${FileSource}
# все это делается по одному, потому что имена повторяются (типа Packages.bz2 или Sources.bz2)
while read line; do
  # выцепляем http адреса (они заключены в одинарные кавычки)
  http_adr=${line%%\' *} # это http адрес файла с ' впереди
  http_adr=${http_adr#\'} # просто http адрес файла
  # выцепляем имена файлов (они ограничены пробелами)
  s1=${line##*\' }    # удаляем все от начала до первого пробела включительно
  file_nam=${s1%% *}  # удаляем с конца строки до первого пробела с начала строки включительно
  s1=${http_adr##*/}  # Удаляем полный путь, оставляем только имя файла с расширением и '
  download_file_name=${s1%\'}  # откусываем кавычку сзади, получаем имя скачаного файла
  wget -c $http_adr  # скачиваем файл по http_adr
  # проверяем это архив или нет
  mimetype=$(file $download_file_name | cut -f2 -d':' | cut -f2 -d' ') # определяем миме тип файла
  if [ $mimetype = "bzip2" ] # если это архив bz2
    then
      bzip2 -d $download_file_name                  # то распаковываем
      download_file_name=${download_file_name%.bz2} # теперь в download_file_name имя файла без расширения
  fi
  # переносим файл в каталог /lists и переименовываем в file_nam
  mv $download_file_name ./lists/$file_nam
done < $FileSource

итого: в каталоге ./lists образовался набор файлов с актуальными изменениями именно для этого сервера
5) опять сгружаем это все на флешку и тащим обратно
6) с клиентской машины заливаем по SSH каталог /lists на сервер

Код: [Выделить]

scp ~/update/lists/* user@server:/home/user/update/lists7) на сервере переименовываем на всякий случай каталог /var/lib/apt/lists в /var/lib/apt/lists.old и копируем принесенный каталог на его место

Код: [Выделить]

sudo mv /var/lib/apt/lists /var/lib/apt/lists.old
sudo cp ~/update/lists /var/lib/apt/lists
# копируем файлы и папки непонятного мне назначения, чтобы все было как в оригинале
sudo cp /var/lib/apt/lists.old/partail /var/lib/apt/lists
sudo cp /var/lib/apt/lists.old/lock /var/lib/apt/listsпроверяем права доступа и владельца - должно быть root:root и 644 если что - меняем

8 ) получаем список обновлений командой вида

Код: [Выделить]

apt-get -y --print-uris upgrade | grep \.deb | cut -f2 -d"'" > update-deb.lst9) опять добираемся домой прихватив файл update-deb.lst, там скачиваем потребные файлы командой

Код: [Выделить]

wget -i update-deb.lstполучаем кучу пакетов

10) переносим эти пакеты на сервер и устанавливаем их командой

Код: [Выделить]

sudo dpkg -i *.deb
Данный подход вполне работоспособен НО для каждого обновления нужна куча телодвижений и бегать два дня, а с установкой нового пакета это вообще раздражает. Понадобилось тебе поставить мелочь типа pdf2djvu - извольте сначала четыре раза сбегать.

ВОПРОС: а можно ли этот алгоритм ужать до двух ходок, типа как в Keryx только в терминальном режиме и по SSH? За кривой скрипт прошу не бить - я только четыре месяца как пересел на linux и это мой третий сценарий. Любые советы по его оптимизации только приветствуются.

[Mogidin]

взять срез репозитория и забахать его на сервер.

[pauls]

на сервере ж/д 10 GB, а срез репозитория занимает более 65 GB - не влезет
кроме всего прочего срез тоже нужно обновлять, что возвращает нас к исходной проблеме

[Molibden]

Вариант 1.
Пробросить домой ssh, чтоб не бегать. Но машинку придется включенной оставлять.((
Вариант 2.
На рабочем месте apt-get update делать через gprs какой-нибудь. Деньги личные тратить...
Вариант 3.
Взять sources.list с сервера (он, я так понимаю, редко меняется), дома заменить родной sources.list, сделать телодвижения для получения списка обновлений, как описано выше, поставить обратно родной sources.list, сделать apt-get update. Список утащить на сервер. Делать можно скриптом каждый вечер.
Вариант 4, имхо самый реальный.
Дома держать на виртуалке сервер с аналогичным набором софта, перед обновлением почистить кэш пакетов, установить что нужно или обновить, скопировать кэш пакетов на флешку и sudo dpkg -i *.deb на сервере.
Как-то так.
Скрипт работает? Тогда не трогаем, то, что работает)).

[Mogidin]

зачем его постоянно обновлять, если он без доступа в интернет? никто его не хакнет.

[pauls]

2Mogidin

Вариант 1, 2

Нельзя. Не по техническим причинам. Я работаю, мягко скажем, в потустороннем мире и любые связи с внешним ограничены перемещением людей, даже за временный канал информации можно огрести по полной.

Вариант 3.

Разные архитектуры. Мне такого железа не добыть - а так идеальный вариант.

Вариант 4

Сейчас так и есть, но я не знаю что получится когда я заточу ядро на сервере под конкретное железо. Виртуалки то имитировать железо по желанию пока не научились. Скажем VirtualBox имитирует сетевую карту Intel PRO/1000 MT Desktop, а у меня стоит Realtek 8139 и как оно скажется на обновлении? У меня в этом вопросе нет опыта - если у кого есть поделитесь пожалуйста.

А обновлять надо не из-за хака, а из-за исправления багов и ошибок и не только ядра но и всего софта ИМХО.

[Molibden]

Вариант 3 как раз пойдет - когда делаешь apt-get update грузиться список всех доступных пакетов в указанных в sources.list репах. Не зависимо от установленных программ и архитектуры. Главное, чтоб apt-get в системе был, и sources.list не перепутать. Это потом, apt-get upgrade выберет из списка то, что нужно.

Цитаты из man apt-get, взял из http://www.opennet.ru/man.shtml?topic=apt-get&category=8&russian=0

(Нажмите, чтобы показать/скрыть)

update
    update используется для повторной синхронизации файлов описаний пакетов с их источником. Описания доступных пакетов будут получены из источников, указанных в /etc/apt/sources.list. Например, при использовании архива Debian, эта команда разыскивает и просматривает файлы Packages.gz, таким образом становится доступной информация о новых и обновлённых пакетах. ...

upgrade
    upgrade используется для установки новейших версий всех установленных пакетов системы из источников, указанных в /etc/apt/sources.list. Будут разысканы новейшие версии установленных в настоящий момент пакетов и произведено обновление; ни в коем случае не будет удалено ни одного установленного пакета или установлено нового пакета, не имеющего уже установленной в системе предыдущей версии. Текущие версии установленных в настоящий момент пакетов, если они не могут быть обновлены новыми версиями без изменения статуса других пакетов, будут оставлены в неизменном виде. Для того, чтобы apt-get узнал о существовании доступных новых версиях пакетов, данной команде должна предшествовать команда update.

Больше не знаю что подсказать. Насчет обновлений на сервере - люди могут поспорить, но не им этот сервер выхаживать...
ЗЫ Хоть за старания нормально платят?
ЗЗЫ Перепутал ники в пред. посте, я Моль)

[truegeek]

А обновлять надо не из-за хака, а из-за исправления багов и ошибок и не только ядра но и всего софта ИМХО.

Я конечно извиняюсь: но че за бред? у вас стабильное ядро и стабильный дистр. можно его вообще не обновлять, если он исправно работает. какие задачи под сервер определены?

та тема поднималась много раз но полного решения нет в том числе и на этом форуме

это тема поднималась много раз и решения как правило были, в том числе и на этом форуме

[pauls]

2Molibden
Спасибо за ссылку.
По поводу варианта 3. Команда sudo apt-get upgrade обновляет пакет исходя из установленных в системе. На домашней системе с другой архитектурой набор пакетов другой нежели на сервере и скачивать он будет совсем не то что нужно. Вот если бы ему подсунуть информацию об установленных пакетах на сервере... Но я не знаю как это сделать и информации ни здесь ни в гугле не нашел 
ЗЫ А платят нам ровно столько чтоб не уходили.
ЗЗЫ Извините что перепутал ник.
Пользователь решил продолжить мысль 16 Ноября 2010, 23:16:30:2truegeek
Обновление сервера - это не бред а здоровая параноя  . Ведь если бы все было так замечательно, то и разработчики не утруждали бы себя выпуском обновлений lucid-security и lucid-updates.
А решений подходящих для моего случая я на этом форуме в том числе не нашел. Может быть плохо искал. Если вы знаете где лежит готовое решение, пожалуйста направьте меня. Я ведь не просто крик поднял "Помогите чайнику!" а предложил свой работающий вариант и попросил совета как его улучшить.

[truegeek]

2truegeek
Обновление сервера - это не бред а здоровая параноя  . Ведь если бы все было так замечательно, то и разработчики не утруждали бы себя выпуском обновлений lucid-security и lucid-updates.
А решений подходящих для моего случая я на этом форуме в том числе не нашел. Может быть плохо искал. Если вы знаете где лежит готовое решение, пожалуйста направьте меня. Я ведь не просто крик поднял "Помогите чайнику!" а предложил свой работающий вариант и попросил совета как его улучшить.

много за четыре месяца вы распознали багов ядра и другого софта??? я не думаю...
так что это не причина для частых обновлений. пример из личного опыта: как то я поднимал домашний смс-шлюз на 8.04 Server LTS. Поставил, обновил, настроил нужные утилиты, все, 2 года я его не обновлял. все работает замечательно.

Если уж никак не подтянуть инет к серверу, то придется бегать с флешкой. Линукс без интернета сами знаете кто ))))

[ViTalityU]

поднять репозиторий на машине с которой есть доступ по ssh
максимальный объем репозитория 40Гб
способы
в случае линуховой машины с инетом
1. либо debmirror
2. либо Создание локального репозитория
в случае виндовой машины с инетом
3. либо [HOWTO] Скачиваем репозиторий ubuntu из под windows (bat-скрипт)
4. либо Загрузка и обновление репозитория ubuntu из под windows
чесно говоря прочитал по диагонали,есть ли на машине с которой рулится сервер по ssh интернет? если да то
5. поставьте approx или apt-cacher-ng
Пользователь решил продолжить мысль 17 Ноября 2010, 01:02:41:хех...забыл как правильно пишется название пакета apt-cacher-ng, полез посмотреть в synaptic и...
наткнулся на пакет apt-offline

apt-offline is an Offline APT Package Manager

apt-offline can fully update and upgrade an APT based distribution without
connecting to the network, all of it transparent to apt

apt-offline can be used to generate a signature on a machine (with no network).
This signature contains all download information required for the apt database
system. This signature file can be used on another machine connected to the
internet (which need not be a Debian box and can even be running windows) to
download the updates.
The downloaded data will contain all updates in a format understood by apt and
this data can be used by apt-offline to update the non-networked machine.

apt-offline can also fetch bug reports and make them available offline

помоему это ваш случай

[pauls]

2ViTalityU
Нету у нас на предприятии интернета вообще. И не будет. Репозиторий поднять можно, и наверное так когда нибудь и будет, когда критическая масса машин наберется, а пока обновление только методом flash-net. Поэтому пункты с первого по пятый отпадают.
Про apt-offline я знаю, он написан под Debian и для Ubuntu неприемлим. Собственно оттуда я идею своего скрипта и стянул, тока в apt-offline обновление происходит за два похода, а у меня за 4. Это потому что там на машину с интернетом переносится не только список репозиториев, но и список всего установленного софта, имитируется родная структура каталогов и пол chroot'om происходит обновление с помощью apt-get.
Если бы я знал как, я бы тоже так сделал.
Хотя странно получается, ведь apt-get должен одинаково работать и в Debian и в Ubuntu...

[ViTalityU]

про apt-offline я знаю, он написан под Debian и для Ubuntu неприемлим.

всеже сомнительно... Но то что в lucid он не рабочий это да. при попытке запустить вылетает с ошибкой

[ViTalityU]

на днях разгребая файлопомойту по имени ~/Загрузки
опнаружил некогда скачанный но так и непрочитанный переведенный на русский номер журнала full circle №32 за 2009 год.
и в нем встретил статью "Автономная установка пакетов", в конце всего прочего известного(aptoncd, ) там рассказывали про утилиту http://keryxproject.org/ . возможно вам подойдет. единственное не уверен есть ли у нее консольный режим...
а чтобы лучше понять что она может прочитайте статью

[pauls]

to ViTalityU я этой прогой (Keryx) пользовался. Она не имеет консольного режима (я это отмечал в начале темы), но все равно спасибо. А решение я нашел. Надо еще пару дней на тесты и опишу здесь. Удовлетворяет всем моим требованиям.  Правда нуждается в первоначальной настройке.