{"id":208,"date":"2026-05-28T20:36:44","date_gmt":"2026-05-28T18:36:44","guid":{"rendered":"https:\/\/jbsan.fr\/blog\/?p=208"},"modified":"2026-05-28T23:42:42","modified_gmt":"2026-05-28T21:42:42","slug":"unattended-upgrades-sur-debian-proxmox-vm-et-lxc-automatiser-les-mises-a-jour-sans-faire-nimporte-quoi","status":"publish","type":"post","link":"https:\/\/jbsan.fr\/blog\/unattended-upgrades-sur-debian-proxmox-vm-et-lxc-automatiser-les-mises-a-jour-sans-faire-nimporte-quoi\/","title":{"rendered":"Unattended-upgrades sur Debian, Proxmox, VM et LXC : automatiser les mises \u00e0 jour sans faire n\u2019importe quoi"},"content":{"rendered":"\n

Il y a deux types d\u2019administrateurs syst\u00e8me.<\/p>\n\n\n\n

Ceux qui lancent leurs mises \u00e0 jour \u00e0 la main, quand ils y pensent.<\/p>\n\n\n\n

Et ceux qui savent tr\u00e8s bien qu\u2019ils ne vont pas toujours y penser.<\/p>\n\n\n\n

Sur une machine Debian, une VM de service, un petit serveur web, un conteneur LXC ou m\u00eame un h\u00f4te Proxmox de homelab, automatiser une partie des mises \u00e0 jour peut vraiment \u00e9viter de laisser tra\u00eener des correctifs importants pendant des semaines. Mais il faut \u00eatre clair d\u00e8s le d\u00e9part : automatiser les mises \u00e0 jour, ce n\u2019est pas appuyer sur un gros bouton magique marqu\u00e9 \u201cs\u00e9curit\u00e9\u201d.<\/p>\n\n\n\n

C\u2019est plut\u00f4t installer un gardien de nuit.<\/p>\n\n\n\n

Il travaille pendant qu\u2019on dort, mais il faut quand m\u00eame lui dire quelles portes il a le droit d\u2019ouvrir.<\/p>\n\n\n\n

Dans cet article, on va voir comment fonctionne unattended-upgrades<\/code>, comment l\u2019utiliser sur Debian et syst\u00e8mes proches, comment l\u2019adapter \u00e0 Proxmox, ce qu\u2019il faut faire dans une VM ou un LXC, et surtout ce qu\u2019il vaut mieux \u00e9viter.<\/p>\n\n\n\n

Ce que fait vraiment unattended-upgrades<\/h2>\n\n\n\n

unattended-upgrades<\/code> est un outil utilis\u00e9 sur Debian, Ubuntu et d\u2019autres syst\u00e8mes bas\u00e9s sur APT pour installer automatiquement certaines mises \u00e0 jour.<\/p>\n\n\n\n

Le mot important ici, c\u2019est \u201ccertaines\u201d.<\/p>\n\n\n\n

Par d\u00e9faut, l\u2019outil ne va pas forc\u00e9ment mettre \u00e0 jour tout ce que apt full-upgrade<\/code>, apt-get dist-upgrade<\/code> ou apt upgrade<\/code> aurait propos\u00e9 \u00e0 la main. Il travaille selon des r\u00e8gles. Ces r\u00e8gles disent quels d\u00e9p\u00f4ts sont autoris\u00e9s, quels paquets sont exclus, s\u2019il faut envoyer un mail, s\u2019il faut red\u00e9marrer, supprimer des d\u00e9pendances inutilis\u00e9es, \u00e9crire dans syslog, etc.<\/p>\n\n\n\n

Il ne choisit pas au hasard.<\/p>\n\n\n\n

Il regarde les m\u00e9tadonn\u00e9es APT des paquets, notamment l\u2019origine, le label, la suite, le composant et le nom de code Debian. C\u2019est pour \u00e7a que la section Origins-Pattern<\/code> est si importante.<\/p>\n\n\n\n

En gros, cette section r\u00e9pond \u00e0 la question suivante :<\/p>\n\n\n\n

\n

Depuis quels d\u00e9p\u00f4ts ai-je le droit d\u2019installer automatiquement des mises \u00e0 jour ?<\/p>\n<\/blockquote>\n\n\n\n

Et cette question devient tr\u00e8s s\u00e9rieuse d\u00e8s qu\u2019on parle de Proxmox, de d\u00e9p\u00f4ts tiers, de Ceph, de Netdata, de Webmin, de Docker ou d\u2019autres sources externes.<\/p>\n\n\n\n

Compatibilit\u00e9 : Debian, Ubuntu, Proxmox, mais pas tous les Unix<\/h2>\n\n\n\n

Il faut \u00e9viter de pr\u00e9senter unattended-upgrades<\/code> comme un outil pour \u201csyst\u00e8mes Unix\u201d.<\/p>\n\n\n\n

Ce serait trop large, et techniquement faux.<\/p>\n\n\n\n

unattended-upgrades<\/code> appartient \u00e0 l\u2019\u00e9cosyst\u00e8me Debian\/APT. Il concerne donc principalement les syst\u00e8mes utilisant APT et des paquets .deb<\/code>.<\/p>\n\n\n\n

Syst\u00e8me<\/th>Compatible avec unattended-upgrades ?<\/th>Remarque<\/th><\/tr><\/thead>
Debian<\/td>Oui<\/td>Cas principal<\/td><\/tr>
Ubuntu<\/td>Oui<\/td>Tr\u00e8s courant sur serveur<\/td><\/tr>
Proxmox VE<\/td>Oui<\/td>Proxmox repose sur Debian, mais la configuration doit \u00eatre adapt\u00e9e<\/td><\/tr>
Proxmox Backup Server<\/td>Oui<\/td>M\u00eame logique que Proxmox VE<\/td><\/tr>
LXC Debian\/Ubuntu<\/td>Oui<\/td>Met \u00e0 jour le conteneur, pas le kernel de l\u2019h\u00f4te<\/td><\/tr>
VM Debian\/Ubuntu<\/td>Oui<\/td>Comme une machine classique<\/td><\/tr>
Linux Mint<\/td>Oui en g\u00e9n\u00e9ral<\/td>Bas\u00e9 sur Ubuntu\/Debian<\/td><\/tr>
Raspberry Pi OS<\/td>Oui en g\u00e9n\u00e9ral<\/td>Bas\u00e9 sur Debian<\/td><\/tr>
Kali Linux<\/td>Oui en g\u00e9n\u00e9ral<\/td>Bas\u00e9 sur Debian, mais \u00e0 manier avec prudence<\/td><\/tr>
Fedora, Rocky Linux, AlmaLinux, RHEL<\/td>Non<\/td>Utiliser plut\u00f4t dnf-automatic<\/code><\/td><\/tr>
openSUSE \/ SUSE<\/td>Non<\/td>Utiliser plut\u00f4t les outils autour de zypper<\/code><\/td><\/tr>
Arch Linux<\/td>Non<\/td>Utilise pacman<\/code>, autre logique<\/td><\/tr>
FreeBSD, OpenBSD, NetBSD<\/td>Non<\/td>Ce sont des BSD, pas des syst\u00e8mes APT<\/td><\/tr>
macOS<\/td>Non<\/td>Unix-like, mais aucun lien avec APT<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Donc la bonne formulation serait plut\u00f4t :<\/p>\n\n\n\n

\n

Mises \u00e0 jour automatiques pour Debian, Ubuntu, Proxmox et syst\u00e8mes bas\u00e9s sur APT.<\/p>\n<\/blockquote>\n\n\n\n

C\u2019est moins large, mais c\u2019est juste.<\/p>\n\n\n\n

Quand l\u2019utiliser, et quand \u00eatre prudent<\/h2>\n\n\n\n

Sur une Debian classique, une VM applicative, un serveur web, un serveur SSH, un DNS interne ou une petite machine de monitoring, unattended-upgrades<\/code> est souvent une bonne id\u00e9e.<\/p>\n\n\n\n

Sur un hyperviseur Proxmox, il faut \u00eatre plus mesur\u00e9.<\/p>\n\n\n\n

Proxmox n\u2019est pas une simple Debian avec deux paquets en plus. C\u2019est un hyperviseur complet avec du stockage, du r\u00e9seau, un noyau sp\u00e9cifique, des VM, des conteneurs, parfois du Ceph, parfois de la haute disponibilit\u00e9. Une mise \u00e0 jour automatique qui red\u00e9marre au mauvais moment peut \u00eatre g\u00eanante. Une mise \u00e0 jour de kernel qui passe sans qu\u2019on s\u2019en rende compte peut aussi laisser un red\u00e9marrage n\u00e9cessaire en attente.<\/p>\n\n\n\n

Ce n\u2019est pas forc\u00e9ment dangereux.<\/p>\n\n\n\n

Mais ce n\u2019est pas anodin.<\/p>\n\n\n\n

Je s\u00e9parerais les cas comme \u00e7a :<\/p>\n\n\n\n

Type de machine<\/th>Automatisation conseill\u00e9e ?<\/th>Commentaire<\/th><\/tr><\/thead>
Debian simple<\/td>Oui<\/td>Tr\u00e8s adapt\u00e9, surtout pour les correctifs de s\u00e9curit\u00e9<\/td><\/tr>
VM Debian<\/td>Oui<\/td>Comme une machine physique, pr\u00e9voir les red\u00e9marrages<\/td><\/tr>
LXC Debian<\/td>Oui, avec prudence<\/td>Met \u00e0 jour l\u2019espace utilisateur du conteneur, pas le kernel de l\u2019h\u00f4te<\/td><\/tr>
H\u00f4te Proxmox homelab<\/td>Possible<\/td>\u00c0 tester, avec notification et sans reboot automatique au d\u00e9but<\/td><\/tr>
H\u00f4te Proxmox production<\/td>Tr\u00e8s prudent<\/td>Plut\u00f4t fen\u00eatre de maintenance, tests, supervision et mises \u00e0 jour manuelles ou orchestr\u00e9es<\/td><\/tr>
Cluster Proxmox avec Ceph ou HA<\/td>Prudence maximale<\/td>Ne jamais red\u00e9marrer tous les n\u0153uds automatiquement sans strat\u00e9gie<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Le but n\u2019est pas de faire peur.<\/p>\n\n\n\n

Le but est juste d\u2019\u00e9viter le classique : \u201cJ\u2019ai activ\u00e9 les mises \u00e0 jour automatiques partout, et maintenant je ne comprends pas pourquoi mon cluster a red\u00e9marr\u00e9 cette nuit.\u201d<\/p>\n\n\n\n

Installation sur Debian, Ubuntu ou une VM classique<\/h2>\n\n\n\n

Sur Debian, Ubuntu Server et la plupart des syst\u00e8mes APT, l\u2019installation est simple.<\/p>\n\n\n

\napt update\napt install unattended-upgrades apt-listchanges\n\n<\/pre><\/div>\n\n\n
Le paquet apt-listchanges<\/code> est optionnel, mais utile. Il permet d\u2019\u00eatre inform\u00e9 des changements importants contenus dans certains paquets.<\/p>\n\n\n\n
Sur beaucoup d\u2019installations Debian, notamment sur des templates de VM ou de LXC, unattended-upgrades<\/code> peut d\u00e9j\u00e0 \u00eatre pr\u00e9sent ou activ\u00e9. Le fichier de configuration principal existe g\u00e9n\u00e9ralement d\u00e9j\u00e0 avec une configuration par d\u00e9faut :<\/p>\n\n\n
\n\/etc\/apt\/apt.conf.d\/50unattended-upgrades\n\n<\/pre><\/div>\n\n\n
Ce fichier contient les r\u00e8gles de base, notamment les d\u00e9p\u00f4ts Debian et Debian Security autoris\u00e9s par d\u00e9faut.<\/p>\n\n\n\n
Mais la pr\u00e9sence de 50unattended-upgrades<\/code> ne suffit pas \u00e0 elle seule \u00e0 prouver que l\u2019installation automatique est active.<\/p>\n\n\n\n
L\u2019activation r\u00e9elle d\u00e9pend aussi de la configuration p\u00e9riodique d\u2019APT, notamment du fichier :<\/p>\n\n\n
\n\/etc\/apt\/apt.conf.d\/20auto-upgrades\n\n<\/pre><\/div>\n\n\n
Pour v\u00e9rifier :<\/p>\n\n\n
\ncat \/etc\/apt\/apt.conf.d\/20auto-upgrades\n\n<\/pre><\/div>\n\n\n
Un fichier minimal actif ressemble souvent \u00e0 ceci :<\/p>\n\n\n
\nAPT::Periodic::Update-Package-Lists "1";\nAPT::Periodic::Unattended-Upgrade "1";\n\n<\/pre><\/div>\n\n\n
Dans ce cas, APT met \u00e0 jour la liste des paquets et lance unattended-upgrades<\/code> automatiquement selon les timers systemd.<\/p>\n\n\n\n
Si le fichier n\u2019existe pas, ou si Unattended-Upgrade<\/code> vaut \"0\"<\/code>, l\u2019installation automatique ne se fera pas, m\u00eame si 50unattended-upgrades<\/code> est pr\u00e9sent.<\/p>\n\n\n\n
On peut activer ou r\u00e9activer la configuration de base avec :<\/p>\n\n\n
\ndpkg-reconfigure -plow unattended-upgrades\n\n<\/pre><\/div>\n\n\n
Ou cr\u00e9er le fichier \u00e0 la main.<\/p>\n\n\n\n
Le fichier 20auto-upgrades<\/h2>\n\n\n\n
Le fichier 20auto-upgrades<\/code> sert \u00e0 dire \u00e0 APT ce qu\u2019il doit faire p\u00e9riodiquement.<\/p>\n\n\n\n
Chemin :<\/p>\n\n\n
\n\/etc\/apt\/apt.conf.d\/20auto-upgrades\n\n<\/pre><\/div>\n\n\n
Contenu minimal :<\/p>\n\n\n
\nAPT::Periodic::Update-Package-Lists "1";\nAPT::Periodic::Unattended-Upgrade "1";\n\n<\/pre><\/div>\n\n\n
On peut aussi utiliser une version un peu plus compl\u00e8te :<\/p>\n\n\n
\nAPT::Periodic::Update-Package-Lists "1";\nAPT::Periodic::Download-Upgradeable-Packages "1";\nAPT::Periodic::AutocleanInterval "7";\nAPT::Periodic::Unattended-Upgrade "1";\n\n<\/pre><\/div>\n\n\n
Explication rapide :<\/p>\n\n\n\n
Update-Package-Lists<\/code> met \u00e0 jour la liste des paquets disponibles.<\/p>\n\n\n\n
Download-Upgradeable-Packages<\/code> autorise le t\u00e9l\u00e9chargement des paquets pouvant \u00eatre mis \u00e0 jour.<\/p>\n\n\n\n
AutocleanInterval<\/code> nettoie p\u00e9riodiquement le cache APT.<\/p>\n\n\n\n
Unattended-Upgrade<\/code> active r\u00e9ellement l\u2019installation automatique selon les r\u00e8gles de unattended-upgrades<\/code>.<\/p>\n\n\n\n
Le \"1\"<\/code> signifie g\u00e9n\u00e9ralement \u201ctous les jours\u201d.<\/p>\n\n\n\n
Donc ici, on demande au syst\u00e8me de v\u00e9rifier quotidiennement les mises \u00e0 jour et d\u2019installer automatiquement ce qui est autoris\u00e9.<\/p>\n\n\n\n
Les timers systemd utilis\u00e9s par APT<\/h2>\n\n\n\n
Sur Debian moderne, les actions p\u00e9riodiques d\u2019APT sont d\u00e9clench\u00e9es par systemd avec deux timers principaux :<\/p>\n\n\n
\napt-daily.timer\napt-daily-upgrade.timer\n\n<\/pre><\/div>\n\n\n
On peut v\u00e9rifier leur \u00e9tat avec :<\/p>\n\n\n
\nsystemctl status apt-daily.timer apt-daily-upgrade.timer\nsystemctl list-timers 'apt-daily*'\n\n<\/pre><\/div>\n\n\n
Les fichiers unitaires par d\u00e9faut peuvent \u00eatre consult\u00e9s ici :<\/p>\n\n\n
\ncat \/usr\/lib\/systemd\/system\/apt-daily.timer\ncat \/usr\/lib\/systemd\/system\/apt-daily-upgrade.timer\n\n<\/pre><\/div>\n\n\n
Sur une Debian classique, on peut par exemple retrouver une configuration de ce type pour apt-daily.timer<\/code> :<\/p>\n\n\n
\n[Unit]\nDescription=Daily apt download activities\n\n[Timer]\nOnCalendar=*-*-* 6,18:00\nRandomizedDelaySec=12h\nPersistent=true\n\n[Install]\nWantedBy=timers.target\n\n<\/pre><\/div>\n\n\n
Et pour apt-daily-upgrade.timer<\/code> :<\/p>\n\n\n
\n[Unit]\nDescription=Daily apt upgrade and clean activities\nAfter=apt-daily.timer\n\n[Timer]\nOnCalendar=*-*-* 6:00\nRandomizedDelaySec=60m\nPersistent=true\n\n[Install]\nWantedBy=timers.target\n\n<\/pre><\/div>\n\n\n
Il faut bien comprendre le r\u00f4le du d\u00e9lai al\u00e9atoire.<\/p>\n\n\n\n
M\u00eame si OnCalendar<\/code> indique 6:00<\/code>, l\u2019ex\u00e9cution r\u00e9elle peut \u00eatre d\u00e9cal\u00e9e. Par exemple, avec :<\/p>\n\n\n
\nRandomizedDelaySec=60m\n\n<\/pre><\/div>\n\n\n
le lancement peut se faire dans l\u2019heure qui suit.<\/p>\n\n\n\n
Avec :<\/p>\n\n\n
\nRandomizedDelaySec=12h\n\n<\/pre><\/div>\n\n\n
le lancement peut \u00eatre d\u00e9cal\u00e9 jusqu\u2019\u00e0 douze heures.<\/p>\n\n\n\n
C\u2019est normal. Ce m\u00e9canisme \u00e9vite que toutes les machines contactent les d\u00e9p\u00f4ts APT exactement au m\u00eame moment.<\/p>\n\n\n\n
Il ne faut pas modifier directement les fichiers dans :<\/p>\n\n\n
\n\/usr\/lib\/systemd\/system\/\n\n<\/pre><\/div>\n\n\n
Ils appartiennent aux paquets du syst\u00e8me. Pour adapter l\u2019horaire, on utilise une surcharge systemd avec systemctl edit<\/code>, on verra \u00e7a plus loin.<\/p>\n\n\n\n
Modifier 50unattended-upgrades : la m\u00e9thode simple<\/h2>\n\n\n\n
Le fichier principal de configuration est g\u00e9n\u00e9ralement celui-ci :<\/p>\n\n\n
\n\/etc\/apt\/apt.conf.d\/50unattended-upgrades\n\n<\/pre><\/div>\n\n\n
Il est normalement install\u00e9 avec le paquet unattended-upgrades<\/code>.<\/p>\n\n\n\n
C\u2019est le fichier que l\u2019on modifie le plus souvent au d\u00e9but, parce qu\u2019il contient d\u00e9j\u00e0 beaucoup d\u2019exemples comment\u00e9s et d\u2019explications.<\/p>\n\n\n\n
Et pour \u00eatre clair : oui, on peut travailler directement dans ce fichier.<\/p>\n\n\n\n
Ce n\u2019est pas interdit. Ce n\u2019est pas une mauvaise commande. Ce n\u2019est pas une erreur bloquante.<\/p>\n\n\n\n
Pour l\u2019ouvrir :<\/p>\n\n\n
\nnano \/etc\/apt\/apt.conf.d\/50unattended-upgrades\n\n<\/pre><\/div>\n\n\n
Avant modification, une sauvegarde simple reste une bonne habitude :<\/p>\n\n\n
\ncp -a \/etc\/apt\/apt.conf.d\/50unattended-upgrades \/etc\/apt\/apt.conf.d\/50unattended-upgrades.bak.$(date +%F-%H%M)\n\n<\/pre><\/div>\n\n\n
C\u2019est la m\u00e9thode la plus directe.<\/p>\n\n\n\n
Elle est tr\u00e8s bien pour comprendre le fonctionnement, tester sur une machine personnelle, ou configurer rapidement un serveur isol\u00e9.<\/p>\n\n\n\n
Mais sur plusieurs serveurs, ou sur une machine que l\u2019on veut maintenir proprement dans le temps, il existe une m\u00e9thode plus \u00e9l\u00e9gante.<\/p>\n\n\n\n
Copier 50 vers 52 : la m\u00e9thode plus propre<\/h2>\n\n\n\n
APT lit les fichiers de configuration pr\u00e9sents dans :<\/p>\n\n\n
\n\/etc\/apt\/apt.conf.d\/\n\n<\/pre><\/div>\n\n\n
Ces fichiers sont lus dans l\u2019ordre alphab\u00e9tique et num\u00e9rique.<\/p>\n\n\n\n
Donc un fichier nomm\u00e9 52unattended-upgrades-local<\/code> sera lu apr\u00e8s 50unattended-upgrades<\/code>.<\/p>\n\n\n\n
C\u2019est justement l\u2019int\u00e9r\u00eat.<\/p>\n\n\n\n
On peut garder 50unattended-upgrades<\/code> comme fichier de r\u00e9f\u00e9rence fourni par le paquet, puis placer sa configuration personnalis\u00e9e dans un fichier local charg\u00e9 apr\u00e8s.<\/p>\n\n\n\n
La m\u00e9thode consiste \u00e0 copier le fichier de base :<\/p>\n\n\n
\ncp -a \/etc\/apt\/apt.conf.d\/50unattended-upgrades \/etc\/apt\/apt.conf.d\/52unattended-upgrades-local\n\n<\/pre><\/div>\n\n\n
Puis \u00e0 modifier la copie :<\/p>\n\n\n
\nnano \/etc\/apt\/apt.conf.d\/52unattended-upgrades-local\n\n<\/pre><\/div>\n\n\n
APT utilisera automatiquement ce nouveau fichier parce qu\u2019il se trouve dans \/etc\/apt\/apt.conf.d\/<\/code>.<\/p>\n\n\n\n
Il n\u2019y a pas besoin de d\u00e9clarer ce fichier ailleurs.<\/p>\n\n\n\n
Il n\u2019y a pas besoin de l\u2019inclure manuellement.<\/p>\n\n\n\n
Il n\u2019y a pas besoin de red\u00e9marrer APT.<\/p>\n\n\n\n
Le point \u00e0 bien comprendre, c\u2019est que les deux fichiers seront lus :<\/p>\n\n\n
\n50unattended-upgrades\n52unattended-upgrades-local\n\n<\/pre><\/div>\n\n\n
Comme 52unattended-upgrades-local<\/code> est lu apr\u00e8s, il peut compl\u00e9ter ou surcharger certains param\u00e8tres.<\/p>\n\n\n\n
Pour v\u00e9rifier ce qu\u2019APT voit r\u00e9ellement, on peut utiliser :<\/p>\n\n\n
\napt-config dump | grep -i unattended\n\n<\/pre><\/div>\n\n\n
Et surtout tester l\u2019ex\u00e9cution avec :<\/p>\n\n\n
\nunattended-upgrade --dry-run --debug\n\n<\/pre><\/div>\n\n\n
Faut-il supprimer ou vider 50 apr\u00e8s copie ?<\/h2>\n\n\n\n
Non.<\/p>\n\n\n\n
En g\u00e9n\u00e9ral, on ne supprime pas 50unattended-upgrades<\/code>.<\/p>\n\n\n\n
Ce fichier appartient au paquet unattended-upgrades<\/code>, il sert de base et de documentation. Le garder permet aussi de retrouver facilement les options disponibles.<\/p>\n\n\n\n
La m\u00e9thode propre consiste plut\u00f4t \u00e0 :<\/p>\n\n\n\n
    \n
  1. garder 50unattended-upgrades<\/code> comme r\u00e9f\u00e9rence ;<\/li>\n\n\n\n
  2. mettre les choix personnalis\u00e9s dans 52unattended-upgrades-local<\/code> ;<\/li>\n\n\n\n
  3. v\u00e9rifier le r\u00e9sultat avec apt-config dump<\/code> et unattended-upgrade --dry-run --debug<\/code>.<\/li>\n<\/ol>\n\n\n\n
    Il y a cependant un d\u00e9tail important.<\/p>\n\n\n\n
    Si on copie tout le fichier 50<\/code> vers 52<\/code>, certaines sections comme Origins-Pattern<\/code> peuvent se retrouver d\u00e9finies deux fois ou \u00eatre difficiles \u00e0 lire. Pour \u00e9viter les doublons ou un comportement ambigu, on peut nettoyer explicitement la liste avant de la red\u00e9finir.<\/p>\n\n\n\n
    Dans les fichiers de configuration APT, la directive \u00e0 utiliser est :<\/p>\n\n\n
    \n#clear Unattended-Upgrade::Origins-Pattern;\n\n<\/pre><\/div>\n\n\n
    Le #clear<\/code> peut surprendre, parce qu\u2019il ressemble \u00e0 un commentaire. Dans la syntaxe APT, c\u2019est bien une directive sp\u00e9ciale.<\/p>\n\n\n\n
    Exemple dans 52unattended-upgrades-local<\/code> :<\/p>\n\n\n
    \n#clear Unattended-Upgrade::Origins-Pattern;\nUnattended-Upgrade::Origins-Pattern {\n        "origin=Debian,codename=${distro_codename},label=Debian";\n        "origin=Debian,codename=${distro_codename},label=Debian-Security";\n        "origin=Debian,codename=${distro_codename}-security,label=Debian-Security";\n        "origin=Debian,codename=${distro_codename}-updates,label=Debian";\n};\n\n<\/pre><\/div>\n\n\n
    Cette directive permet de repartir d\u2019une liste propre avant de d\u00e9finir vos propres d\u00e9p\u00f4ts autoris\u00e9s.<\/p>\n\n\n\n
    C\u2019est particuli\u00e8rement utile si vous gardez 50unattended-upgrades<\/code> intact et que vous voulez que 52unattended-upgrades-local<\/code> devienne votre vraie configuration active.<\/p>\n\n\n\n
    M\u00e9thode simple ou m\u00e9thode propre ?<\/h2>\n\n\n\n
    Les deux sont valables.<\/p>\n\n\n\n
    Pour un tutoriel, on peut pr\u00e9senter les choses comme \u00e7a :<\/p>\n\n\n\n
    M\u00e9thode<\/th>Fichier utilis\u00e9<\/th>Avantage<\/th>Limite<\/th><\/tr><\/thead>
    Simple<\/td>\/etc\/apt\/apt.conf.d\/50unattended-upgrades<\/code><\/td>Direct, facile \u00e0 comprendre<\/td>Moins propre lors des futures mises \u00e0 jour du paquet<\/td><\/tr>
    Propre<\/td>\/etc\/apt\/apt.conf.d\/52unattended-upgrades-local<\/code><\/td>Plus maintenable<\/td>Demande de comprendre l\u2019ordre de lecture des fichiers APT<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
    Sur une machine personnelle, modifier 50unattended-upgrades<\/code> directement peut suffire.<\/p>\n\n\n\n
    Sur un serveur, un h\u00f4te Proxmox, ou plusieurs machines \u00e0 maintenir, je pr\u00e9f\u00e8re utiliser un fichier local comme 52unattended-upgrades-local<\/code>.<\/p>\n\n\n\n
    Ce n\u2019est pas une question de \u201c\u00e7a marche ou \u00e7a ne marche pas\u201d.<\/p>\n\n\n\n
    C\u2019est une question de maintenance propre.<\/p>\n\n\n\n
    Comprendre Origins-Pattern<\/h2>\n\n\n\n
    La section Origins-Pattern<\/code> est le c\u0153ur du sujet.<\/p>\n\n\n\n
    Elle ressemble souvent \u00e0 \u00e7a dans la configuration Debian par d\u00e9faut :<\/p>\n\n\n
    \nUnattended-Upgrade::Origins-Pattern {\n        "origin=Debian,codename=${distro_codename},label=Debian";\n        "origin=Debian,codename=${distro_codename},label=Debian-Security";\n        "origin=Debian,codename=${distro_codename}-security,label=Debian-Security";\n};\n\n<\/pre><\/div>\n\n\n
    Chaque ligne est un filtre.<\/p>\n\n\n\n
    Un paquet sera mis \u00e0 jour automatiquement seulement si ses m\u00e9tadonn\u00e9es correspondent \u00e0 une des lignes autoris\u00e9es.<\/p>\n\n\n\n
    Les champs les plus courants sont :<\/p>\n\n\n\n
    Champ<\/th>Alias<\/th>Exemple<\/th><\/tr><\/thead>
    origin<\/code><\/td>o<\/code><\/td>Debian<\/code>, Proxmox<\/code><\/td><\/tr>
    label<\/code><\/td>l<\/code><\/td>Debian-Security<\/code>, Proxmox Debian Repository<\/code><\/td><\/tr>
    codename<\/code><\/td>n<\/code><\/td>bookworm<\/code>, trixie<\/code><\/td><\/tr>
    archive<\/code> ou suite<\/code><\/td>a<\/code><\/td>stable<\/code>, oldstable<\/code><\/td><\/tr>
    component<\/code><\/td>c<\/code><\/td>main<\/code>, contrib<\/code>, pve-no-subscription<\/code><\/td><\/tr>
    site<\/code><\/td><\/td>deb.debian.org<\/code>, download.proxmox.com<\/code><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
    La macro suivante est tr\u00e8s pratique :<\/p>\n\n\n
    \n${distro_codename}\n\n<\/pre><\/div>\n\n\n
    Elle reprend le nom de code de la distribution install\u00e9e.<\/p>\n\n\n\n
    Par exemple :<\/p>\n\n\n\n
      \n
    • Debian 12 : bookworm<\/code><\/li>\n\n\n\n
    • Debian 13 : trixie<\/code><\/li>\n<\/ul>\n\n\n\n
      Donc une m\u00eame configuration peut \u00eatre plus facilement r\u00e9utilis\u00e9e entre plusieurs machines.<\/p>\n\n\n\n
      Voir les bonnes valeurs avec apt-cache policy<\/h2>\n\n\n\n
      Avant d\u2019ajouter une ligne dans Origins-Pattern<\/code>, il faut savoir ce que le syst\u00e8me voit r\u00e9ellement.<\/p>\n\n\n\n
      La commande \u00e0 utiliser :<\/p>\n\n\n
      \napt-cache policy\n\n<\/pre><\/div>\n\n\n
      On peut aussi regarder un paquet pr\u00e9cis :<\/p>\n\n\n
      \napt-cache policy proxmox-ve\napt-cache policy pve-manager\napt-cache policy ceph\napt-cache policy nginx\n\n<\/pre><\/div>\n\n\n
      C\u2019est dans cette sortie qu\u2019on retrouve les valeurs comme :<\/p>\n\n\n
      \nrelease o=Debian,a=stable,n=bookworm,l=Debian,c=main,b=amd64\nrelease o=Proxmox,n=bookworm,l=Proxmox Debian Repository,c=pve-no-subscription,b=amd64\n\n<\/pre><\/div>\n\n\n
      C\u2019est \u00e0 partir de ces valeurs qu\u2019on \u00e9crit une r\u00e8gle fiable.<\/p>\n\n\n\n
      Pas \u00e0 partir d\u2019une intuition.<\/p>\n\n\n\n
      Et encore moins \u00e0 partir d\u2019un copier-coller trouv\u00e9 sur un forum sans v\u00e9rifier.<\/p>\n\n\n\n
      Exemple de configuration Debian raisonnable<\/h2>\n\n\n\n
      Pour une VM Debian, un conteneur LXC Debian ou un serveur Debian classique, la configuration par d\u00e9faut peut d\u00e9j\u00e0 suffire pour les d\u00e9p\u00f4ts Debian principaux et Debian Security.<\/p>\n\n\n\n
      On peut le v\u00e9rifier avec :<\/p>\n\n\n
      \ncat \/etc\/apt\/apt.conf.d\/50unattended-upgrades\n\n<\/pre><\/div>\n\n\n
      Si la section contient d\u00e9j\u00e0 les lignes Debian et Debian Security, c\u2019est une bonne base.<\/p>\n\n\n\n
      Exemple de configuration personnalis\u00e9e possible, \u00e0 placer soit directement dans :<\/p>\n\n\n
      \n\/etc\/apt\/apt.conf.d\/50unattended-upgrades\n\n<\/pre><\/div>\n\n\n
      soit, plus proprement, dans :<\/p>\n\n\n
      \n\/etc\/apt\/apt.conf.d\/52unattended-upgrades-local\n\n<\/pre><\/div>\n\n\n
      Contenu conseill\u00e9 pour la partie personnalis\u00e9e :<\/p>\n\n\n
      \n#clear Unattended-Upgrade::Origins-Pattern;\nUnattended-Upgrade::Origins-Pattern {\n        "origin=Debian,codename=${distro_codename},label=Debian";\n        "origin=Debian,codename=${distro_codename},label=Debian-Security";\n        "origin=Debian,codename=${distro_codename}-security,label=Debian-Security";\n        "origin=Debian,codename=${distro_codename}-updates,label=Debian";\n};\n\nUnattended-Upgrade::Package-Blacklist {\n};\n\nUnattended-Upgrade::AutoFixInterruptedDpkg "true";\nUnattended-Upgrade::MinimalSteps "true";\n\nUnattended-Upgrade::Mail "";\nUnattended-Upgrade::MailReport "only-on-error";\n\nUnattended-Upgrade::Remove-Unused-Kernel-Packages "true";\nUnattended-Upgrade::Remove-New-Unused-Dependencies "true";\nUnattended-Upgrade::Remove-Unused-Dependencies "true";\n\nUnattended-Upgrade::Automatic-Reboot "false";\nUnattended-Upgrade::Automatic-Reboot-WithUsers "false";\n\nUnattended-Upgrade::SyslogEnable "true";\nUnattended-Upgrade::SyslogFacility "daemon";\n\n<\/pre><\/div>\n\n\n
      Quelques remarques.<\/p>\n\n\n\n
      #clear Unattended-Upgrade::Origins-Pattern;<\/code> vide la liste pr\u00e9c\u00e9dente avant de red\u00e9finir la v\u00f4tre. C\u2019est utile si vous utilisez un fichier local charg\u00e9 apr\u00e8s 50unattended-upgrades<\/code>.<\/p>\n\n\n\n
      Automatic-Reboot \"false\"<\/code> est volontaire. Il vaut mieux commencer sans red\u00e9marrage automatique, observer pendant quelques jours, puis d\u00e9cider.<\/p>\n\n\n\n
      Mail \"\"<\/code> d\u00e9sactive l\u2019envoi mail. Si vous avez un vrai relais mail configur\u00e9, vous pouvez remplacer par votre adresse.<\/p>\n\n\n\n
      Exemple :<\/p>\n\n\n
      \nUnattended-Upgrade::Mail "admin@example.com";\nUnattended-Upgrade::MailReport "on-change";\n\n<\/pre><\/div>\n\n\n
      Pour recevoir des mails, il faut que la machine sache envoyer du mail. Selon votre infrastructure, \u00e7a peut passer par postfix<\/code>, msmtp<\/code>, nullmailer<\/code>, ou un relais SMTP interne.<\/p>\n\n\n\n
      Adapter \u00e0 Proxmox : l\u00e0, on ralentit un peu<\/h2>\n\n\n\n
      Sur Proxmox, le pi\u00e8ge classique est simple : configurer unattended-upgrades<\/code> comme sur Debian, et croire que Proxmox sera enti\u00e8rement maintenu automatiquement.<\/p>\n\n\n\n
      Ce n\u2019est pas forc\u00e9ment vrai.<\/p>\n\n\n\n
      Si vous n\u2019autorisez que les d\u00e9p\u00f4ts Debian et Debian Security, les paquets Proxmox ne seront pas inclus. Or un correctif de s\u00e9curit\u00e9 ou de stabilit\u00e9 c\u00f4t\u00e9 PVE ne vient pas forc\u00e9ment de Debian-Security<\/code>. Il peut venir du d\u00e9p\u00f4t Proxmox.<\/p>\n\n\n\n
      Donc si vous voulez que les paquets Proxmox soient inclus, il faut ajouter explicitement les d\u00e9p\u00f4ts Proxmox dans Origins-Pattern<\/code>.<\/p>\n\n\n\n
      Mais avant \u00e7a, v\u00e9rifiez vos d\u00e9p\u00f4ts.<\/p>\n\n\n
      \napt update\napt-cache policy\n\n<\/pre><\/div>\n\n\n
      Et v\u00e9rifiez aussi la version :<\/p>\n\n\n
      \npveversion\n\n<\/pre><\/div>\n\n\n
      Sur Proxmox VE 8, on est g\u00e9n\u00e9ralement sur Debian 12 bookworm<\/code>.<\/p>\n\n\n\n
      Sur Proxmox VE 9, on est sur Debian 13 trixie<\/code>.<\/p>\n\n\n\n
      Ne m\u00e9langez pas les deux.<\/p>\n\n\n\n
      Un m\u00e9lange bookworm<\/code> et trixie<\/code> dans les sources APT, c\u2019est le genre de d\u00e9tail qui transforme une maintenance tranquille en soir\u00e9e d\u00e9sagr\u00e9able.<\/p>\n\n\n\n
      Exemple Proxmox avec d\u00e9p\u00f4t no-subscription<\/h2>\n\n\n\n
      Voici un exemple pour un h\u00f4te Proxmox utilisant le d\u00e9p\u00f4t pve-no-subscription<\/code>.<\/p>\n\n\n\n
      Le d\u00e9p\u00f4t pve-no-subscription<\/code> est pratique en homelab ou en environnement de test. En production, il faut savoir qu\u2019il n\u2019offre pas le m\u00eame niveau de validation que le d\u00e9p\u00f4t Enterprise.<\/p>\n\n\n\n
      Fichier de base possible :<\/p>\n\n\n
      \n\/etc\/apt\/apt.conf.d\/50unattended-upgrades\n\n<\/pre><\/div>\n\n\n
      Fichier local conseill\u00e9 :<\/p>\n\n\n
      \n\/etc\/apt\/apt.conf.d\/52unattended-upgrades-local\n\n<\/pre><\/div>\n\n\n
      Contenu possible :<\/p>\n\n\n
      \n#clear Unattended-Upgrade::Origins-Pattern;\nUnattended-Upgrade::Origins-Pattern {\n        "origin=Debian,codename=${distro_codename},label=Debian";\n        "origin=Debian,codename=${distro_codename},label=Debian-Security";\n        "origin=Debian,codename=${distro_codename}-security,label=Debian-Security";\n        "origin=Debian,codename=${distro_codename}-updates,label=Debian";\n\n        "o=Proxmox,n=${distro_codename},l=Proxmox Debian Repository,c=pve-no-subscription";\n};\n\nUnattended-Upgrade::Package-Blacklist {\n};\n\nUnattended-Upgrade::AutoFixInterruptedDpkg "true";\nUnattended-Upgrade::MinimalSteps "true";\n\nUnattended-Upgrade::Mail "admin@example.com";\nUnattended-Upgrade::MailReport "on-change";\n\nUnattended-Upgrade::Remove-Unused-Kernel-Packages "false";\nUnattended-Upgrade::Remove-New-Unused-Dependencies "false";\nUnattended-Upgrade::Remove-Unused-Dependencies "false";\n\nUnattended-Upgrade::Automatic-Reboot "false";\nUnattended-Upgrade::Automatic-Reboot-WithUsers "false";\n\nUnattended-Upgrade::SyslogEnable "true";\nUnattended-Upgrade::SyslogFacility "daemon";\n\n<\/pre><\/div>\n\n\n
      La ligne importante pour Proxmox est :<\/p>\n\n\n
      \n"o=Proxmox,n=${distro_codename},l=Proxmox Debian Repository,c=pve-no-subscription";\n\n<\/pre><\/div>\n\n\n
      Mais elle doit \u00eatre v\u00e9rifi\u00e9e sur votre machine avec :<\/p>\n\n\n
      \napt-cache policy\n\n<\/pre><\/div>\n\n\n
      Selon la version de Proxmox, le d\u00e9p\u00f4t utilis\u00e9, le format des sources APT ou la configuration locale, les valeurs peuvent diff\u00e9rer.<\/p>\n\n\n\n
      Et si Proxmox utilise Ceph ?<\/h2>\n\n\n\n
      Si Proxmox utilise Ceph, il peut aussi y avoir un d\u00e9p\u00f4t Proxmox d\u00e9di\u00e9 \u00e0 Ceph.<\/p>\n\n\n\n
      Par exemple, pour Ceph Squid, on peut rencontrer une ligne du genre :<\/p>\n\n\n
      \n"o=Proxmox,n=${distro_codename},l=Proxmox Ceph 19 Squid Debian Repository,c=no-subscription";\n\n<\/pre><\/div>\n\n\n
      Mais il ne faut pas ajouter cette ligne juste \u201cau cas o\u00f9\u201d.<\/p>\n\n\n\n
      Elle doit correspondre \u00e0 un d\u00e9p\u00f4t r\u00e9ellement pr\u00e9sent sur la machine.<\/p>\n\n\n\n
      \u00c0 v\u00e9rifier avec :<\/p>\n\n\n
      \napt-cache policy\n\n<\/pre><\/div>\n\n\n
      Ou avec un paquet Ceph pr\u00e9cis :<\/p>\n\n\n
      \napt-cache policy ceph\napt-cache policy ceph-common\n\n<\/pre><\/div>\n\n\n
      Si vous n\u2019utilisez pas Ceph, ne mettez pas de r\u00e8gle Ceph.<\/p>\n\n\n\n
      C\u2019est plus propre.<\/p>\n\n\n\n
      Et \u00e7a \u00e9vite d\u2019autoriser des d\u00e9p\u00f4ts qui ne concernent pas le serveur.<\/p>\n\n\n\n
      Pourquoi d\u00e9sactiver l\u2019autoremove global sur Proxmox ?<\/h2>\n\n\n\n
      Dans une configuration Debian classique, on peut avoir :<\/p>\n\n\n
      \nUnattended-Upgrade::Remove-Unused-Dependencies "true";\n\n<\/pre><\/div>\n\n\n
      Sur Proxmox, je pr\u00e9f\u00e8re commencer avec :<\/p>\n\n\n
      \nUnattended-Upgrade::Remove-Unused-Dependencies "false";\n\n<\/pre><\/div>\n\n\n
      Pourquoi ?<\/p>\n\n\n\n
      Parce qu\u2019un hyperviseur a souvent des d\u00e9pendances plus sensibles : m\u00e9tapaquets, paquets de stockage, kernel, composants PVE, Ceph, ZFS, outils r\u00e9seau.<\/p>\n\n\n\n
      Un autoremove<\/code> automatique n\u2019est pas forc\u00e9ment mauvais, mais je pr\u00e9f\u00e8re le faire manuellement sur un h\u00f4te Proxmox, apr\u00e8s v\u00e9rification.<\/p>\n\n\n\n
      Par exemple :<\/p>\n\n\n
      \napt autoremove --dry-run\n\n<\/pre><\/div>\n\n\n
      Puis seulement si la sortie est propre :<\/p>\n\n\n
      \napt autoremove\n\n<\/pre><\/div>\n\n\n
      Oui, c\u2019est un peu plus manuel.<\/p>\n\n\n\n
      Mais sur l\u2019hyperviseur qui porte toutes les VM, ce n\u2019est pas forc\u00e9ment une mauvaise chose.<\/p>\n\n\n\n
      Et les d\u00e9p\u00f4ts tiers comme Netdata, Webmin, Docker ou autres ?<\/h2>\n\n\n\n
      Sur un serveur r\u00e9el, il est assez courant de ne pas avoir uniquement les d\u00e9p\u00f4ts Debian ou Proxmox.<\/p>\n\n\n\n
      On peut avoir un agent de supervision, une interface d\u2019administration, un d\u00e9p\u00f4t applicatif, un outil de sauvegarde, un d\u00e9p\u00f4t Docker, Netdata, Webmin, ou d\u2019autres solutions install\u00e9es au fil du temps.<\/p>\n\n\n\n
      Et c\u2019est justement l\u00e0 qu\u2019il faut faire attention.<\/p>\n\n\n\n
      unattended-upgrades<\/code> ne met pas automatiquement tout \u00e0 jour sans distinction. Il applique les r\u00e8gles d\u00e9finies dans Origins-Pattern<\/code>.<\/p>\n\n\n\n
      Si un d\u00e9p\u00f4t tiers n\u2019est pas autoris\u00e9 dans cette section, ses paquets ne seront normalement pas install\u00e9s automatiquement par unattended-upgrades<\/code>.<\/p>\n\n\n\n
      On peut ajouter un d\u00e9p\u00f4t tiers, mais il faut le faire volontairement.<\/p>\n\n\n\n
      La bonne m\u00e9thode consiste d\u2019abord \u00e0 regarder comment APT identifie ce d\u00e9p\u00f4t :<\/p>\n\n\n
      \napt-cache policy\n\n<\/pre><\/div>\n\n\n
      Ou, pour un paquet pr\u00e9cis :<\/p>\n\n\n
      \napt-cache policy netdata\napt-cache policy webmin\n\n<\/pre><\/div>\n\n\n
      La sortie permet de rep\u00e9rer les champs utiles comme :<\/p>\n\n\n
      \no=Netdata\nl=Netdata\nsite=repository.netdata.cloud\n\n<\/pre><\/div>\n\n\n
      ou encore :<\/p>\n\n\n
      \no=Jamie Cameron\nl=Webmin\na=stable\nc=contrib\nsite=download.webmin.com\n\n<\/pre><\/div>\n\n\n
      \u00c0 partir de l\u00e0, on peut \u00e9crire une r\u00e8gle adapt\u00e9e.<\/p>\n\n\n\n
      Exemple :<\/p>\n\n\n
      \n#clear Unattended-Upgrade::Origins-Pattern;\nUnattended-Upgrade::Origins-Pattern {\n        "origin=Debian,codename=${distro_codename},label=Debian";\n        "origin=Debian,codename=${distro_codename},label=Debian-Security";\n        "origin=Debian,codename=${distro_codename}-security,label=Debian-Security";\n        "origin=Debian,codename=${distro_codename}-updates,label=Debian";\n\n        "o=Netdata,l=Netdata,site=repository.netdata.cloud";\n        "o=Jamie Cameron,l=Webmin,a=stable,c=contrib,site=download.webmin.com";\n};\n\n<\/pre><\/div>\n\n\n
      Mais ce n\u2019est pas parce que c\u2019est possible qu\u2019il faut tout autoriser.<\/p>\n\n\n\n
      Un d\u00e9p\u00f4t tiers peut mettre \u00e0 jour un service important, changer un comportement, red\u00e9marrer un daemon, ou introduire une d\u00e9pendance qu\u2019on n\u2019avait pas pr\u00e9vue. Pour un agent de monitoring, c\u2019est souvent acceptable. Pour une interface d\u2019administration ou un composant sensible, il vaut mieux r\u00e9fl\u00e9chir un peu plus.<\/p>\n\n\n\n
      Le plus raisonnable est d\u2019ajouter les d\u00e9p\u00f4ts progressivement.<\/p>\n\n\n\n
      On commence avec Debian et Debian Security.<\/p>\n\n\n\n
      Puis on teste :<\/p>\n\n\n
      \nunattended-upgrade --dry-run --debug\n\n<\/pre><\/div>\n\n\n
      On lit les logs :<\/p>\n\n\n
      \ntail -n 200 \/var\/log\/unattended-upgrades\/unattended-upgrades.log\ntail -n 200 \/var\/log\/unattended-upgrades\/unattended-upgrades-dpkg.log\n\n<\/pre><\/div>\n\n\n
      Et seulement ensuite, on d\u00e9cide si certains d\u00e9p\u00f4ts tiers doivent aussi \u00eatre inclus.<\/p>\n\n\n\n
      L\u2019id\u00e9e n\u2019est pas de bloquer toutes les mises \u00e0 jour externes.<\/p>\n\n\n\n
      L\u2019id\u00e9e est de ne pas donner les cl\u00e9s de la maintenance automatique \u00e0 n\u2019importe quel d\u00e9p\u00f4t sans l\u2019avoir v\u00e9rifi\u00e9.<\/p>\n\n\n\n
      Tester avant de laisser tourner tranquillement<\/h2>\n\n\n\n
      Le test le plus important :<\/p>\n\n\n
      \nunattended-upgrade --dry-run --debug\n\n<\/pre><\/div>\n\n\n
      Cette commande simule l\u2019ex\u00e9cution sans appliquer les mises \u00e0 jour.<\/p>\n\n\n\n
      Elle permet de voir quels paquets seraient pris en compte, quels d\u00e9p\u00f4ts correspondent, et quels paquets seraient ignor\u00e9s.<\/p>\n\n\n\n
      Ensuite, v\u00e9rifiez les logs :<\/p>\n\n\n
      \ntail -n 200 \/var\/log\/unattended-upgrades\/unattended-upgrades.log\ntail -n 200 \/var\/log\/unattended-upgrades\/unattended-upgrades-dpkg.log\n\n<\/pre><\/div>\n\n\n
      On peut aussi regarder l\u2019historique APT :<\/p>\n\n\n
      \ngrep -R "Start-Date" \/var\/log\/apt\/history.log*\n\n<\/pre><\/div>\n\n\n
      Et les timers systemd :<\/p>\n\n\n
      \nsystemctl status apt-daily.timer apt-daily-upgrade.timer\nsystemctl list-timers 'apt-daily*'\n\n<\/pre><\/div>\n\n\n
      Si rien ne se lance jamais, commencez par v\u00e9rifier :<\/p>\n\n\n
      \ncat \/etc\/apt\/apt.conf.d\/20auto-upgrades\nsystemctl is-enabled apt-daily.timer\nsystemctl is-enabled apt-daily-upgrade.timer\n\n<\/pre><\/div>\n\n\n
      Pour v\u00e9rifier la configuration fusionn\u00e9e par APT :<\/p>\n\n\n
      \napt-config dump | grep -i unattended\n\n<\/pre><\/div>\n\n\n
      C\u2019est particuli\u00e8rement utile si vous avez \u00e0 la fois 50unattended-upgrades<\/code> et 52unattended-upgrades-local<\/code>.<\/p>\n\n\n\n
      Changer l\u2019heure d\u2019ex\u00e9cution<\/h2>\n\n\n\n
      Les mises \u00e0 jour automatiques sont d\u00e9clench\u00e9es par des timers systemd.<\/p>\n\n\n\n
      Sur un serveur, on peut vouloir \u00e9viter les heures de production.<\/p>\n\n\n\n
      Il ne faut pas modifier directement :<\/p>\n\n\n
      \n\/usr\/lib\/systemd\/system\/apt-daily.timer\n\/usr\/lib\/systemd\/system\/apt-daily-upgrade.timer\n\n<\/pre><\/div>\n\n\n
      Ces fichiers appartiennent aux paquets du syst\u00e8me.<\/p>\n\n\n\n
      Pour modifier proprement l\u2019horaire du timer d\u2019installation :<\/p>\n\n\n
      \nsystemctl edit apt-daily-upgrade.timer\n\n<\/pre><\/div>\n\n\n
      Mettre :<\/p>\n\n\n
      \n[Timer]\nOnCalendar=\nOnCalendar=*-*-* 03:30\nRandomizedDelaySec=30m\nPersistent=true\n\n<\/pre><\/div>\n\n\n
      Puis recharger systemd :<\/p>\n\n\n
      \nsystemctl daemon-reload\nsystemctl restart apt-daily-upgrade.timer\nsystemctl list-timers 'apt-daily*'\n\n<\/pre><\/div>\n\n\n
      Le OnCalendar=<\/code> vide l\u2019ancienne valeur.<\/p>\n\n\n\n
      Ensuite, OnCalendar=*-*-* 03:30<\/code> d\u00e9finit la nouvelle heure.<\/p>\n\n\n\n
      RandomizedDelaySec=30m<\/code> ajoute une petite marge al\u00e9atoire. C\u2019est utile si vous avez beaucoup de serveurs, pour \u00e9viter qu\u2019ils tapent tous les d\u00e9p\u00f4ts exactement \u00e0 la m\u00eame minute.<\/p>\n\n\n\n
      Faut-il activer le reboot automatique ?<\/h2>\n\n\n\n
      Sur une VM Debian simple, \u00e7a peut se d\u00e9fendre.<\/p>\n\n\n\n
      Sur un h\u00f4te Proxmox, je d\u00e9conseille au d\u00e9but.<\/p>\n\n\n\n
      Un red\u00e9marrage automatique peut \u00eatre pratique, mais il faut une fen\u00eatre de maintenance, une supervision, et surtout savoir ce qui tourne sur la machine.<\/p>\n\n\n\n
      Pour activer le reboot automatique \u00e0 4h du matin :<\/p>\n\n\n
      \nUnattended-Upgrade::Automatic-Reboot "true";\nUnattended-Upgrade::Automatic-Reboot-WithUsers "false";\nUnattended-Upgrade::Automatic-Reboot-Time "04:00";\n\n<\/pre><\/div>\n\n\n
      Sur Proxmox, je pr\u00e9f\u00e8re cette approche :<\/p>\n\n\n
      \nUnattended-Upgrade::Automatic-Reboot "false";\n\n<\/pre><\/div>\n\n\n
      Puis surveiller la pr\u00e9sence de ce fichier :<\/p>\n\n\n
      \ntest -f \/var\/run\/reboot-required && cat \/var\/run\/reboot-required\n\n<\/pre><\/div>\n\n\n
      Et \u00e9ventuellement :<\/p>\n\n\n
      \ncat \/var\/run\/reboot-required.pkgs\n\n<\/pre><\/div>\n\n\n
      Comme \u00e7a, on sait qu\u2019un red\u00e9marrage est n\u00e9cessaire, mais on garde la main sur le moment.<\/p>\n\n\n\n
      C\u2019est moins automatique, oui.<\/p>\n\n\n\n
      Mais c\u2019est aussi moins brutal.<\/p>\n\n\n\n
      Cas particulier des conteneurs LXC<\/h2>\n\n\n\n
      Dans un conteneur LXC Debian, unattended-upgrades<\/code> peut fonctionner si le conteneur utilise systemd et APT normalement.<\/p>\n\n\n\n
      D\u2019ailleurs, sur certains templates Debian LXC, le paquet et les fichiers suivants peuvent d\u00e9j\u00e0 \u00eatre pr\u00e9sents :<\/p>\n\n\n
      \n\/etc\/apt\/apt.conf.d\/20auto-upgrades\n\/etc\/apt\/apt.conf.d\/50unattended-upgrades\n\n<\/pre><\/div>\n\n\n
      C\u2019est donc \u00e0 v\u00e9rifier avant d\u2019installer ou de reconfigurer.<\/p>\n\n\n\n
      Mais il faut garder en t\u00eate une chose : un conteneur ne g\u00e8re pas son propre kernel.<\/p>\n\n\n\n
      Le kernel appartient \u00e0 l\u2019h\u00f4te Proxmox.<\/p>\n\n\n\n
      Donc mettre \u00e0 jour un LXC Debian mettra \u00e0 jour ses paquets internes, ses biblioth\u00e8ques, ses services, son nginx, son openssh-server, son PHP, etc.<\/p>\n\n\n\n
      Mais \u00e7a ne mettra pas \u00e0 jour le kernel r\u00e9ellement ex\u00e9cut\u00e9.<\/p>\n\n\n\n
      Pour \u00e7a, il faut mettre \u00e0 jour l\u2019h\u00f4te Proxmox.<\/p>\n\n\n\n
      Dans un LXC, je conseille :<\/p>\n\n\n
      \nUnattended-Upgrade::Automatic-Reboot "false";\n\n<\/pre><\/div>\n\n\n
      Puis, si certains services doivent \u00eatre red\u00e9marr\u00e9s apr\u00e8s mise \u00e0 jour, les g\u00e9rer proprement avec supervision ou maintenance.<\/p>\n\n\n\n
      Un conteneur qui red\u00e9marre tout seul \u00e0 3h du matin, ce n\u2019est pas dramatique dans tous les cas.<\/p>\n\n\n\n
      Mais quand c\u2019est le conteneur DNS, reverse proxy ou base de donn\u00e9es, on pr\u00e9f\u00e8re le savoir.<\/p>\n\n\n\n
      Cas particulier des VM<\/h2>\n\n\n\n
      Une VM, c\u2019est plus simple.<\/p>\n\n\n\n
      Elle se comporte comme une machine classique.<\/p>\n\n\n\n
      Si elle a son propre kernel, ses propres services et son propre init system, unattended-upgrades<\/code> peut \u00eatre utilis\u00e9 normalement.<\/p>\n\n\n\n
      La vraie question devient alors :<\/p>\n\n\n\n
        \n
      • est-ce que la VM peut red\u00e9marrer automatiquement ?<\/li>\n\n\n\n
      • est-ce qu\u2019elle h\u00e9berge un service critique ?<\/li>\n\n\n\n
      • est-ce qu\u2019elle est sauvegard\u00e9e ?<\/li>\n\n\n\n
      • est-ce qu\u2019on re\u00e7oit une alerte si quelque chose \u00e9choue ?<\/li>\n<\/ul>\n\n\n\n
        Pour une petite VM applicative, j\u2019activerais facilement les mises \u00e0 jour automatiques avec notification.<\/p>\n\n\n\n
        Pour une VM base de donn\u00e9es, je serais plus prudent sur le red\u00e9marrage.<\/p>\n\n\n\n
        Et sur les autres syst\u00e8mes ?<\/h2>\n\n\n\n
        Sur Ubuntu, le principe est tr\u00e8s proche de Debian. On retrouve aussi unattended-upgrades<\/code>, les fichiers dans \/etc\/apt\/apt.conf.d\/<\/code>, les logs dans \/var\/log\/unattended-upgrades\/<\/code>, et les timers systemd.<\/p>\n\n\n\n
        Sur les distributions de la famille Red Hat, Fedora, Rocky Linux, AlmaLinux ou RHEL, l\u2019\u00e9quivalent courant est plut\u00f4t dnf-automatic<\/code>.<\/p>\n\n\n\n
        Exemple rapide :<\/p>\n\n\n
        \ndnf install dnf-automatic\nsystemctl enable --now dnf-automatic.timer\n\n<\/pre><\/div>\n\n\n
        La configuration se fait g\u00e9n\u00e9ralement ici :<\/p>\n\n\n
        \n\/etc\/dnf\/automatic.conf\n\n<\/pre><\/div>\n\n\n
        Sur openSUSE et SUSE, on trouve plut\u00f4t des m\u00e9canismes autour de zypper<\/code>, et sur certains syst\u00e8mes, transactional-update<\/code>, notamment quand les mises \u00e0 jour sont appliqu\u00e9es via snapshots et activ\u00e9es apr\u00e8s reboot.<\/p>\n\n\n\n
        Le concept reste le m\u00eame.<\/p>\n\n\n\n
        Automatiser, oui.<\/p>\n\n\n\n
        Mais avec des r\u00e8gles, des logs, des notifications et une strat\u00e9gie de retour arri\u00e8re.<\/p>\n\n\n\n
        Questions fr\u00e9quentes<\/h2>\n\n\n\n
        Est-ce que unattended-upgrades s\u2019active automatiquement apr\u00e8s installation ?<\/h3>\n\n\n\n
        \u00c7a d\u00e9pend de l\u2019image syst\u00e8me et de la configuration APT d\u00e9j\u00e0 pr\u00e9sente.<\/p>\n\n\n\n
        Sur certaines Debian, VM ou templates LXC, unattended-upgrades<\/code> est d\u00e9j\u00e0 install\u00e9 ou d\u00e9j\u00e0 activ\u00e9. On peut alors trouver directement :<\/p>\n\n\n
        \n\/etc\/apt\/apt.conf.d\/20auto-upgrades\n\/etc\/apt\/apt.conf.d\/50unattended-upgrades\n\n<\/pre><\/div>\n\n\n
        Si 20auto-upgrades<\/code> contient :<\/p>\n\n\n
        \nAPT::Periodic::Update-Package-Lists "1";\nAPT::Periodic::Unattended-Upgrade "1";\n\n<\/pre><\/div>\n\n\n
        alors les mises \u00e0 jour automatiques sont activ\u00e9es c\u00f4t\u00e9 APT.<\/p>\n\n\n\n
        Si ce fichier n\u2019existe pas, ou si la valeur est \"0\"<\/code>, il faut l\u2019activer.<\/p>\n\n\n\n
        Est-ce que 50unattended-upgrades est d\u00e9j\u00e0 configur\u00e9 par d\u00e9faut ?<\/h3>\n\n\n\n
        Oui, le fichier 50unattended-upgrades<\/code> est g\u00e9n\u00e9ralement install\u00e9 avec une configuration par d\u00e9faut.<\/p>\n\n\n\n
        Sur Debian, il autorise souvent les d\u00e9p\u00f4ts Debian et Debian Security, avec beaucoup d\u2019options suppl\u00e9mentaires comment\u00e9es.<\/p>\n\n\n\n
        Mais attention : ce fichier d\u00e9finit ce qui peut \u00eatre mis \u00e0 jour automatiquement.<\/p>\n\n\n\n
        Le fichier 20auto-upgrades<\/code>, lui, d\u00e9finit si APT lance vraiment cette automatisation p\u00e9riodiquement.<\/p>\n\n\n\n
        Les deux sont donc compl\u00e9mentaires.<\/p>\n\n\n\n
        Est-ce que unattended-upgrades remplace apt dist-upgrade sur Proxmox ?<\/h3>\n\n\n\n
        Non, je ne le pr\u00e9senterais pas comme \u00e7a.<\/p>\n\n\n\n
        Sur Proxmox, la m\u00e9thode habituelle en CLI reste de passer par une mise \u00e0 jour compl\u00e8te avec :<\/p>\n\n\n
        \napt-get update\napt-get dist-upgrade\n\n<\/pre><\/div>\n\n\n
        ou via l\u2019interface web.<\/p>\n\n\n\n
        unattended-upgrades<\/code> peut automatiser une partie des mises \u00e0 jour, y compris Proxmox si les d\u00e9p\u00f4ts sont bien autoris\u00e9s, mais il ne remplace pas une vraie maintenance planifi\u00e9e, surtout pour les changements importants.<\/p>\n\n\n\n
        Est-ce que \u00e7a met \u00e0 jour Debian 12 vers Debian 13 automatiquement ?<\/h3>\n\n\n\n
        Non, pas tout seul.<\/p>\n\n\n\n
        Si vos d\u00e9p\u00f4ts restent en bookworm<\/code>, vous restez sur bookworm<\/code>.<\/p>\n\n\n\n
        Si vous changez manuellement vos d\u00e9p\u00f4ts vers trixie<\/code>, l\u00e0 c\u2019est une autre histoire. Mais une mont\u00e9e majeure Debian ou Proxmox doit \u00eatre faite volontairement, en suivant une proc\u00e9dure d\u00e9di\u00e9e.<\/p>\n\n\n\n
        Ce n\u2019est pas le r\u00f4le d\u2019unattended-upgrades de d\u00e9cider \u00e7a pour vous.<\/p>\n\n\n\n
        Et heureusement.<\/p>\n\n\n\n
        Puis-je mettre origin=* pour tout mettre \u00e0 jour ?<\/h3>\n\n\n\n
        Techniquement, oui.<\/p>\n\n\n\n
        Pratiquement, je ne le conseille pas sur un serveur s\u00e9rieux.<\/p>\n\n\n\n
        Une r\u00e8gle comme celle-ci :<\/p>\n\n\n
        \n#clear Unattended-Upgrade::Origins-Pattern;\nUnattended-Upgrade::Origins-Pattern {\n        "origin=*";\n};\n\n<\/pre><\/div>\n\n\n
        autorise beaucoup trop largement les d\u00e9p\u00f4ts configur\u00e9s.<\/p>\n\n\n\n
        Si vous avez uniquement des d\u00e9p\u00f4ts officiels, bien ma\u00eetris\u00e9s, avec du pinning APT propre, \u00e7a peut se d\u00e9fendre dans certains environnements.<\/p>\n\n\n\n
        Mais sur une machine avec Proxmox, Netdata, Webmin, Docker, un d\u00e9p\u00f4t applicatif ou autre, c\u2019est risqu\u00e9.<\/p>\n\n\n\n
        Mieux vaut d\u00e9clarer pr\u00e9cis\u00e9ment les sources accept\u00e9es.<\/p>\n\n\n\n
        Pourquoi mes paquets Proxmox ne se mettent pas \u00e0 jour ?<\/h3>\n\n\n\n
        Probablement parce que vous n\u2019avez autoris\u00e9 que Debian dans Origins-Pattern<\/code>.<\/p>\n\n\n\n
        Il faut v\u00e9rifier avec :<\/p>\n\n\n
        \napt-cache policy\n\n<\/pre><\/div>\n\n\n
        Puis ajouter une ligne correspondant au d\u00e9p\u00f4t Proxmox.<\/p>\n\n\n\n
        Exemple pour pve-no-subscription<\/code> :<\/p>\n\n\n
        \n"o=Proxmox,n=${distro_codename},l=Proxmox Debian Repository,c=pve-no-subscription";\n\n<\/pre><\/div>\n\n\n
        \u00c0 adapter selon votre d\u00e9p\u00f4t r\u00e9el.<\/p>\n\n\n\n
        Comment savoir si un red\u00e9marrage est n\u00e9cessaire ?<\/h3>\n\n\n\n
        Sur Debian et syst\u00e8mes proches :<\/p>\n\n\n
        \ntest -f \/var\/run\/reboot-required && echo "Red\u00e9marrage n\u00e9cessaire"\n\n<\/pre><\/div>\n\n\n
        Pour voir quels paquets le demandent :<\/p>\n\n\n
        \ncat \/var\/run\/reboot-required.pkgs\n\n<\/pre><\/div>\n\n\n
        Sur Proxmox, apr\u00e8s mise \u00e0 jour du kernel ou de composants importants, un red\u00e9marrage est souvent n\u00e9cessaire pour r\u00e9ellement utiliser la nouvelle version.<\/p>\n\n\n\n
        Comment savoir si mon fichier 52 est bien pris en compte ?<\/h3>\n\n\n\n
        APT lit automatiquement les fichiers pr\u00e9sents dans :<\/p>\n\n\n
        \n\/etc\/apt\/apt.conf.d\/\n\n<\/pre><\/div>\n\n\n
        Donc si votre fichier s\u2019appelle :<\/p>\n\n\n
        \n\/etc\/apt\/apt.conf.d\/52unattended-upgrades-local\n\n<\/pre><\/div>\n\n\n
        il sera lu apr\u00e8s :<\/p>\n\n\n
        \n\/etc\/apt\/apt.conf.d\/50unattended-upgrades\n\n<\/pre><\/div>\n\n\n
        Pour v\u00e9rifier ce que la configuration donne r\u00e9ellement :<\/p>\n\n\n
        \napt-config dump | grep -i unattended\n\n<\/pre><\/div>\n\n\n
        Puis testez avec :<\/p>\n\n\n
        \nunattended-upgrade --dry-run --debug\n\n<\/pre><\/div>\n\n\n
        C\u2019est ce test qui fait foi.<\/p>\n\n\n\n
        Est-ce obligatoire de copier 50 vers 52 ?<\/h3>\n\n\n\n
        Non.<\/p>\n\n\n\n
        Ce n\u2019est pas obligatoire.<\/p>\n\n\n\n
        Modifier directement 50unattended-upgrades<\/code> fonctionne.<\/p>\n\n\n\n
        La copie vers 52unattended-upgrades-local<\/code> est surtout une m\u00e9thode plus propre pour s\u00e9parer le fichier fourni par le paquet et votre configuration locale.<\/p>\n\n\n\n
        En pratique :<\/p>\n\n\n\n
          \n
        • pour comprendre rapidement : modifier 50<\/code> ;<\/li>\n\n\n\n
        • pour une configuration durable : utiliser 52<\/code> ;<\/li>\n\n\n\n
        • pour un serveur critique : tester avec --dry-run --debug<\/code> et surveiller les logs.<\/li>\n<\/ul>\n\n\n\n
          Est-ce que je dois modifier les timers dans \/usr\/lib\/systemd\/system ?<\/h3>\n\n\n\n
          Non.<\/p>\n\n\n\n
          On peut les lire pour comprendre le comportement par d\u00e9faut, mais il ne faut pas les modifier directement.<\/p>\n\n\n\n
          Pour changer l\u2019horaire, il faut utiliser :<\/p>\n\n\n
          \nsystemctl edit apt-daily-upgrade.timer\n\n<\/pre><\/div>\n\n\n
          puis recharger systemd :<\/p>\n\n\n
          \nsystemctl daemon-reload\nsystemctl restart apt-daily-upgrade.timer\n\n<\/pre><\/div>\n\n\n
          Ma recommandation finale<\/h2>\n\n\n\n
          Pour une Debian classique, j\u2019activerais unattended-upgrades<\/code> assez volontiers, au moins pour les d\u00e9p\u00f4ts Debian et Debian Security.<\/p>\n\n\n\n
          Pour une VM, pareil, avec une r\u00e9flexion sur le reboot.<\/p>\n\n\n\n
          Pour un LXC, oui, mais sans oublier que le kernel d\u00e9pend de l\u2019h\u00f4te.<\/p>\n\n\n\n
          Pour Proxmox, je ferais plus progressif :<\/p>\n\n\n\n
            \n
          1. v\u00e9rifier si 20auto-upgrades<\/code> et 50unattended-upgrades<\/code> sont d\u00e9j\u00e0 pr\u00e9sents ;<\/li>\n\n\n\n
          2. v\u00e9rifier que les mises \u00e0 jour automatiques sont bien activ\u00e9es dans 20auto-upgrades<\/code> ;<\/li>\n\n\n\n
          3. garder la base Debian et Debian Security ;<\/li>\n\n\n\n
          4. tester les lignes Proxmox avec unattended-upgrade --dry-run --debug<\/code> ;<\/li>\n\n\n\n
          5. activer les notifications mail ou syslog ;<\/li>\n\n\n\n
          6. ne pas activer le reboot automatique au d\u00e9part ;<\/li>\n\n\n\n
          7. faire les mises \u00e0 jour lourdes et les red\u00e9marrages pendant une fen\u00eatre pr\u00e9vue ;<\/li>\n\n\n\n
          8. garder les mont\u00e9es majeures Proxmox enti\u00e8rement manuelles.<\/li>\n<\/ol>\n\n\n\n
            Pour le fichier de configuration, je vois les choses comme \u00e7a :<\/p>\n\n\n\n
              \n
            • 50unattended-upgrades<\/code> pour la m\u00e9thode simple et directe ;<\/li>\n\n\n\n
            • 52unattended-upgrades-local<\/code> pour une configuration plus propre et maintenable.<\/li>\n<\/ul>\n\n\n\n
              Automatiser les mises \u00e0 jour, c\u2019est tr\u00e8s bien.<\/p>\n\n\n\n
              Mais sur une infrastructure, surtout quand elle porte d\u2019autres machines, il faut automatiser avec une laisse courte au d\u00e9but.<\/p>\n\n\n\n
              On observe.<\/p>\n\n\n\n
              On ajuste.<\/p>\n\n\n\n
              Puis seulement apr\u00e8s, on donne un peu plus d\u2019autonomie au syst\u00e8me.<\/p>\n\n\n\n
              M\u00e9ta-description SEO naturelle<\/h2>\n\n\n\n
              Guide pratique pour configurer unattended-upgrades sur Debian, Ubuntu, Proxmox, VM et conteneurs LXC, avec exemples de fichiers, d\u00e9p\u00f4ts APT, timers systemd, tests, logs et pr\u00e9cautions avant automatisation.<\/p>\n\n\n\n
              <\/h2>\n","protected":false},"excerpt":{"rendered":"
              Il y a deux types d\u2019administrateurs syst\u00e8me. Ceux qui lancent leurs mises \u00e0 jour \u00e0 la main, quand ils y pensent. Et ceux qui savent tr\u00e8s bien qu\u2019ils ne vont pas toujours y penser. Sur une machine Debian, une VM de service, un petit serveur web, un conteneur LXC ou m\u00eame un h\u00f4te Proxmox de […]<\/p>\n","protected":false},"author":1,"featured_media":211,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_import_markdown_pro_load_document_selector":0,"_import_markdown_pro_submit_text_textarea":"","footnotes":""},"categories":[87,48,88],"tags":[],"class_list":["post-208","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-guides-et-tutoriels","category-linux-ubuntu-debian-centos-arch-etc","category-pas-a-pas-pour-les-debutants"],"_links":{"self":[{"href":"https:\/\/jbsan.fr\/blog\/wp-json\/wp\/v2\/posts\/208","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jbsan.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jbsan.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jbsan.fr\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/jbsan.fr\/blog\/wp-json\/wp\/v2\/comments?post=208"}],"version-history":[{"count":5,"href":"https:\/\/jbsan.fr\/blog\/wp-json\/wp\/v2\/posts\/208\/revisions"}],"predecessor-version":[{"id":215,"href":"https:\/\/jbsan.fr\/blog\/wp-json\/wp\/v2\/posts\/208\/revisions\/215"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jbsan.fr\/blog\/wp-json\/wp\/v2\/media\/211"}],"wp:attachment":[{"href":"https:\/\/jbsan.fr\/blog\/wp-json\/wp\/v2\/media?parent=208"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jbsan.fr\/blog\/wp-json\/wp\/v2\/categories?post=208"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jbsan.fr\/blog\/wp-json\/wp\/v2\/tags?post=208"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}