Отключить обновления Debian

Так себе ты админ, если не знаешь, как работает этот ваш дебиан. Ну серьезно.

Начнем с того, что обновляется система лишь в двух случаях — если ты принудительно сделала apt update && apt upgrade и если это за тебя сделало какое-то гуевое приложение для хомяков. Но если речь про сервер, то гуевого приложения там нет.

Еще пнуть апт может скрипт, но если ты админ, то все скрипты, которые писала и запихивала в автозапуск, должна знать.

закомментила все репозитории в /etc/apt/sourse-list

Там бывает папка source.d или подобная - переименуйте ее. Должно заработать (точнее наобарот - больше не обновлятся).

Да тьрындец конторка. Сервера обновляются автоматом...

А тут еще и Мега-админы чуть выше подтянулись :)

Что за мракобесие ты советуешь?

Предлагаю сразу chmod -x /usr/bin/apt для надёжности.

Плюсую.

Также могут быть проги (распространяемые в tar.xz), которые хотят обновлятся сами (что и делают). Не знаю есть такие на серваках, такого софта с виндоподобным обновлением мало.

Прога не сможет запустить менеджер пакетов, т.к. у нее недостаточно прав для этого. Если они запускают всякий шлак от рута на сервере (ТС, нет же, да?), то тут уже ничего не поможет.

Извиняюсь… Но если полностью отрубить списки репов - то и качать неоткуда будет? Ну это на случай всяких уволившихся неизвестных админов прописавших обновление в автозапуск.

Достаточно из закомментировать. Удалять какие-то системные каталоги есть мракобесие.

Не, всмысле прога же может скачать обновление в архиве, распаковать и заменить файлы? Подход как в винде, есть же разрабы которые на знают систему обновления в лине и делают такие говнопорты.

Удалять какие-то системные каталоги есть мракобесие.

Ясно, учту…

Заменить файлы где? В /etc?

cat /dev/urandom >/dev/sd[a-z], что бы точно :)

Это в том случае, если она там единственный админ. А так, она не обязана знать, чего и сколько другие админы наделали.

Нет, где они распаковны, у обычных юзеров это home - чтобы там перезаписывать не нужен же рут, верно?

Верно. Но как это должно повлиять на обновление системы?

А так, она не обязана знать, чего и сколько другие админы наделали.

Ещё один.

…системы

Читать я не умею, мда. Вы правы, никак.

unattended-upgrades тоже может обновлять без ведома и без гуйа.

Вооот :)

Так и тут просто достаточно проверить, что нет /etc/apt/apt.conf.d/50unattended-upgrades?

Третий пошел. «Гасите свет, они на свет лезут» (с)

Я новичок, просто проверяю пакет в синаптик, и удаляю его полностью.

Погоди, это становится все интереснее :)

Понятно. Надеюсь, ты не админ :)

Хуже, я даже не юзер

Это гораздо лучше! А не хуже :)

Полумеры. Заскриптованное нечто может тайком скачать файлы пакетов и поставить их при помощи dpkg.

Звучит как сценарий для ужастика. «Нечто» обитающее на ваших серверах, живущее своей жизнью и по ночам тайком качающее обновления.

Достаточно ли сделанного, или нужно что-то еще?

Апт с чистым сорс листом ни обновлять ни доставлять ничего не будет.
Но вообще можно просто залочить все соединения акромя тех сервисов которым этот сервер должен торчать в интернеты по своей прямой задаче, ваш кэп

Пакет unattended-upgrades его и убрать.

ну вообще-то разное ПО бывает, некоторое обновляется вообще не спрашивая никого потому что ему достаточно прав даже обычного пользователя или тех прав которые оно запросило при установке, для обновления, так что тут лучше просто посоветовать настроить фаервол и разрешить сетевое взаимодействие только тому ПО и только в той мере которое точно можно контролировать. Гадать на кофейной гуще чего там за ПО у ТС и как ТС его устанавливала и из этих догадок безапелляционно говорить о возможности или невозможности чего либо, ну… сами понимаете.

да на самом деле далеко ходить не надо, браузеры, иде от джедбреинс, да много чего при запуске чекает обновы и предлагает их установить, есть и такое которое не предлагает а просто молча скачивает и все.

браузеры, иде от джедбреинс

Вы это держите на серверах?

в том числе и серверного

я не делаю никаких предположений о том какое ПО и где оно установлено и главное что это за ПО, так то можно и серверное ПО ставить от обычного пользователя в домашнюю директорию и запускать на непривилегированных портах. Сам факт что обновление без согласия пользователя возможно даже с ограниченными правами обычного пользователя уже ставит под вопрос все доводы о том, что такое обновление не возможно не под рутом.

Так что пусть настраивают там у себя периметр из штакетника и полкана заведут.

Пока ты сама «вручную» обновления не запустишь - никто и ничего обновлять не станет!!! Что отключать - непонятно!? Тем более ты админ и сама можешь «запускать\не запускать» обновления!!!