staging.inyokaproject.org

hife schrieb:

[...] Wenn es keine Einsprüche gibt, werde ich demnächst einen Entsprechenden Hinweis einfügen.

Nur zu!

Den Hinweis habe ich eingefügt. Nun hat aber inzwischen unattended-upgrades das Snap-Paket (durch das Übergangspaket) wieder installiert (obwohl apt policy das PPA-Paket als Kandidaten nennt). Nach meinen Recherchen kann das mit folgenden Faktoren zusammenhängen:

1. Die offiziellen Paketquellen haben eine neue Version früher als das PPA.

2. unattended-upgrades ist nicht eingerichtet Updates aus dem PPA zu installieren.

3. Das PPA war nicht erreichbar.

Je nachdem, was genau der Grund war, könnten Abhilfe schaffen:

1. unattended-upgrades für den mozillateam-PPA einrichten.

2. unattended-upgrades Updates des firefox-Pakets verbieten.

3. unattended-upgrades deaktivieren.

Leider weiß ich nicht, wie ich das vor dem nächsten Update zuverlässig testen kann. Für den Moment habe ich unattended-upgrades deaktiviert und warte, ob auch die Aktualisierungsaufforderung nächstes Mal wieder das Übergangspaket vorschlägt.

Das PPA muss auf jeden Fall für unattended-upgrades konfiguriet werden, denn das spielt nur Pakete aus den dafür dort eingetragenen Quellen ein.

Allerdings sorgt das dann nur dafür, dass der aus dem PPA installierte Firefox keine Aktualisierungen bekommt, woraus Firefox installiert wird, bestimmt das Pinning.

@tomtomtom: Danke, dass du das klarstellst. Das hätte ich auch so erwartet, aber aus irgendeinem Grund wurde trotzdem wieder das Paket aus den offiziellen Quellen installiert. Ich weiß nur leider keinen Weg effizient zu testen wo da der Grund lag.

Hallo und einen schönen Feiertag.

Ich habe das gerade mal durchgespielt, mit einem 22.04 Mate in der VM und es hat einwandfrei funktioniert.

Daher hier einfach mal eine Danke an alle Beteiligten. 👍

Nun muss ich nur noch das nächste Update abwarten, ob auch das so wie erwartet funktioniert.

Gruß DH

Heute bekam ich die Meldung von der Aktualisierungsverwaltung, dass eine neue Version von Firefox aus dem PPA verfügbar ist. Zum Test habe ich das abgelehnt und die unattended-upgrades aktiviert (ohne es für die PPA einzurichten). Es wurden sofort wieder das offizielle Schein-Paket und die Snap-Version installiert. Der Befehl

apt-get dist-upgrade

wiederum ersetzt das Schein-Paket wieder durch das aus dem PPA. Das Snap-Paket muss man natürlich trotzdem wieder manuell entfernen.

Vielleicht ist es so, dass unattended-upgrades "sieht", dass die installierte Version nicht mehr dem PPA zugeordnet ist, und daher nicht mehr höhere Priorität hat und damit das Schein-Paket als "neueres" Paket wieder installiert, da es das aktuelle Paket mit der höheren Priorität in der PPA nicht installiert darf. Das heißt:

• Firefox 112 deb (installiert, Priorität normal)

• Firefox Snap-Scheinpaket ("neuer" als 112, Priorität normal)

• Firefox 113 deb (PPA: Priorität 1001, aber nicht für unattended-upgrades zugelassen)

Also ist Firefox Snap das neueste Paket unter denen mit höchster Priorität unter denen die installiert werden dürfen und wird deshalb installiert.

Ergibt das soweit Sinn? Hat das sonst jemand so beobachtet?

Ich werde beim nächsten Update unattended-upgrades für das PPA einrichten und alternativ zum Vergleich in /etc/apt/preferences.d/mozillateam

Package: firefox*
Pin: release o=Ubuntu
Pin-Priority: -1

einfügen, um das Schein-Paket explizit auszuschließen, damit es auch bei Deaktivierung des PPA nicht installiert wird. Dann berichte ich nochmal.

Wenn mir jemand bestätigen kann, dass das Phänomen der Rückkehr des Schein-Pakets durch unattended-upgrades nicht nur bei mir auftritt, dann würde ich zur Einrichtung von unattended-upgrade bzw. Ausschluss des offiziellen Pakets noch einen Abschnitt in den Artikel einfügen.

Das Apt-Pinning für das Mozilla-Paket gehört dazu, sonst funktioniert das nicht (schrieb ich bereits).

Dann habe ich deine vorherige Nachricht wohl nicht richtig verstanden. Tut mir Leid.

Mein Punkt ist, dass das APT Pinning, welches im Artikel beschrieben wird, so (bei mir) nicht ausreicht, da weiterhin von unattended-upgrades auf das Schein-Paket "aktualisiert" wird.

Wenn ich also der Anleitung des Artikels vollständig folge, bekomme ich trotzdem bei jedem unattended-upgrade wieder das Snap-Paket.

Meine Frage ist: Ist das der Regelfall oder sollte das Pinning des Artikels ausreichen (und bei mir gibt es woanders einen Fehler)?

Wenn es der Regelfall ist, ist die Anleitung für mich unvollständig, vor Allem da unattended-upgrades standardmäßig aktiv sind. Es fehlt dann entweder strengeres Pinning (-1 für Firefox aus den offiziellen Quellen) oder

Unattended-Upgrade::Allowed-Origins:: "LP-PPA-mozillateam:jammy";

in /etc/apt/apt.conf.d/.

hife schrieb:

Mein Punkt ist, dass das APT Pinning, welches im Artikel beschrieben wird, so (bei mir) nicht ausreicht, da weiterhin von unattended-upgrades auf das Schein-Paket "aktualisiert" wird.

Wie auch schon mal geschrieben: Wenn man aus dem PPA per unattended-upgrades aktualisieren will, muss man das PPA als Quelle in die Konfiguration von unattended-upgrades eintragen.

Das sich das über Apt-Pinning hinwegsetzen würde, wäre mir auch neu.

Deinem Text nach hast du ja gerade kein Apt-Pinning gehabt?

Edit: Sehe gerade, das ich das Pinning genau umgedreht handhabe.

Statt das Firefox-Paket aus den offiziellen Quellen auszuschließen ist bei mir die Installation aus dem PPA bevorzugt.

Package: firefox
Pin: release o=LP-PPA-mozillateam
Pin-Priority: 1001

Ich hatte von Anfang an das Pinning aus dem Artikel, ähnlich wie bei dir:

Package: * 
Pin: release o=LP-PPA-mozillateam
Pin-Priority: 100

Package: firefox*
Pin: release o=LP-PPA-mozillateam
Pin-Priority: 1001

Trotzdem hat unattended-upgrades auf das Schein-Paket aktualisiert als 112 herauskam. Ich habe das PPA dann bewusst noch nicht in die Konfiguration von unattended-upgrades eingetragen, um dieses Verhalten beim nächsten Update auf 113 zu beobachten. Und tatsächlich scheint sich unattended-upgrades über das Pinning hinwegzusetzen. Mein erster Post heute war ein Versuch eine mögliche Erklärung für dieses "über Pinning hinwegsetzen" zu finden (und mögliche Gegenmaßnahmen).

Bei dir passiert das scheinbar nicht. Ich frage mich, woran das liegt. Ich sehe, dass deine Konfiguration keine *-Wildcard hat, also exakt das Firefox-Paket betrifft. Das kann ich beim nächsten Update mal ausprobieren. (Leider habe ich erst nach dem Update herausgefunden, dass unattended-upgrades eine --dry-run Option hat.)

Nach diversen Tests mit verschiedenen Pinnings sehe ich mich bestätigt, dass unattended-upgrades konsistent das Schein-Paket wieder installiert, wenn

1. das installierte Paket nicht mehr in der Mozillateam-PPA ist,

2. das neuere Paket aus der Mozillateam-PPA nicht installiert werden darf und

3. das Schein-Paket nicht explizit blockiert ist.

Ich füge also die entsprechenden Gegenmaßnahmen in den Artikel ein.