Meilleures pratiques pour maintenir à jour les packages UNIX?

Concernant votre troisième question : j'ai toujours un dépôt local en cours d'exécution. Même s'il n'est que pour une machine, cela fait gagner du temps au cas où je devrais réinstaller (j'utilise généralement quelque chose comme aptitude autoclean), et pour deux machines, cela en vaut presque toujours la peine.

Pour les clusters que j'administre, je ne garde généralement pas de journaux explicites : je laisse le gestionnaire de paquets le faire pour moi. Cependant, pour ces machines (par opposition aux ordinateurs de bureau), je n'utilise pas les installations automatiques, donc j'ai mes notes sur ce que j'avais l'intention d'installer sur toutes les machines.

Tout comme cron-apt, j'utilise apticron.

J'utilise apt-history pour l'historique. Je n'ai aucune idée pourquoi cet outil utile n'est pas inclus par défaut, c'est le premier paquet que je déploie avec puppet.

Je lance /usr/bin/apt-get update -qq;/usr/bin/apt-get dist-upgrade -duyq en tant que tâche cron chaque nuit. Le matin, j'ai une notification des paquets qui ont besoin d'être mis à jour, et les fichiers ont déjà été téléchargés sur la machine.

Ensuite, je fais généralement une capture instantanée de la machine (la plupart de nos serveurs sont virtuels), je fais un apt-get dist-upgrade, je vérifie nagios et m'assure que tout fonctionne toujours, puis je supprime la capture instantanée.

Enfin, je tiens une liste continue de toutes les modifications apportées à chaque serveur sur un wiki, afin de suivre les problèmes qui surviennent plus tard.

En ce qui concerne la limitation des téléchargements redondants, je comprends que vous pouvez mettre en place un cacheing web-proxy (squid?) entre vos serveurs et internet qui mettra en cache les fichiers .deb la première fois qu'ils sont accédés. Peut-être que cela est plus simple que de mettre en place un référentiel de packages local - et a l'avantage supplémentaire d'accélérer la navigation web général.