L'épinglage de paquets via le fichier /etc/apt/preferences
Qu'est-ce que sont l'épinglage et le fichier /etc/apt/preferences?
L'épinglage (ou pinning en VO) consiste à assigner à un paquet (ou à un groupe de paquets) une priorité d'installation différente de celle qu'il(s) a (ont) normalement. Cela se fait par l'intermédiaire du fichier /etc/apt/preferences. Une installation fraiche ne comporte pas de fichier preferences, il faut donc le creer soi même.
Chaque dépôt présent dans le sources.list se voit attribué une priorité d'installation. Par défaut tous les dépôts ont la même priorité (500 sauf exception, les dépôts experimental par exemple qui ont une priorité par défaut de 1, les dépôts backports qui ont une priorité de 100), et à priorités égales c'est le numéro de version des paquets qui joue, le plus récent est prioritaire.
Pour les paquets qui sont présents dans différents dépôts et qui ont strictement le même numéro de version (60 a 90% des paquets testing/sid) c'est l'ordre dans le sources.list qui joue, mais ça n'a dans le fond aucune importance puisque ce sont strictement les mêmes paquets. Donc par défaut, avec un sources.list comportant toutes les branches de Debian et sans preferences, ce sont les paquets les plus récents et qui ne viennent pas d'experimental qui ont la priorité, ce qui correspond à sid.
Le fichier de preferences sert à modifier les priorités qui sont affectées aux paquets par APT, et ce par l'intermédiaire de règles s'appliquant à un, plusieurs ou un ensemble de paquets (et non à des dépôts, c'est un abus de langage qui peut nuire à la compréhension du fonctionnement des règles). Cette méthode peut être utilisée pour choisir la version des paquets que l'on veut installer ou si l'on souhaite bloquer/suivre un ou des paquets particuliers.
En gros, un fichier preferences n'est utile que si l'on veut mixer différentes branches de debian (par exemple sid en restant testing ou stable) ou bien lors de l'ajout de dépôts non officiels dont on veut "affiner" le comportement. Et il n'est utile que si l'on a de bonnes raisons de le faire! Un mauvais usage de l'épinglage peut très vite casser votre système.
Bien que la fonction de pinning d'APT décrite dans apt_preferences (5) soit puissante, ses effets peuvent être difficiles à comprendre et à gérer. Vous devriez la considérer comme une Fonction Avancée.
Ce n'est pas moi qui le dis, c'est la documentation officielle... donc la première chose à se demander c'est ai-je vraiment besoin d'épingler des paquets? Certains des chapitres suivants devraient vous aider à répondre à cette question, mais cette réponse dépendra en très grande partie quelle branche de Debian vous avez choisi d'utiliser.
Pour bien saisir le fonctionnement de l'épinglage, je vous recommande fortement de lire ce tutoriel en entier, voire même plusieurs fois. Certaines informations sont répétées dans différents paragraphes, j'espère que ce n'est pas redondant mais que ça facilite la compréhension du sujet et évite de faire des erreurs.
Voici les fils de discussion du forum Debian-fr qui ont servi à faire ce tutoriel:
Question concernant le fichier preferences
/etc/apt/preferences et sa première non-mise à jour
Pourquoi les preferences du T&A sont foireux?
mettre en blacklist des mises à jour APT
Énervant manque d'explications: fichier preferences
Vous pouvez également trouver des informations sur l'épinglage en tapant man apt_preferences dans un terminal.
Structure du fichier /etc/apt/preferences
Ce fichier est constitué d'une ou plusieurs entrées séparées par des lignes blanches. Un exemple d'entrées de fichier preferences:
Package: * Pin: release a=unstable o=Debian Pin-Priority: 90 Package: ardour Pin: release a=unstable Pin-Priority: 1001
On constate que chaque entrée est de la forme suivante:
Package: * ou nom de paquet Pin: release a=,n=,v=,c=,o=,l= Pin-Priority: P (ou P est un entier positif ou négatif)
Pour compléter au mieux ces entrées nous nous servirons de la commande apt-cache policy qui donne des résultats de ce type:
500 http://ftp2.fr.debian.org stable/contrib Packages release v=5.0.5,o=Debian,a=stable,n=stable,l=Debian,c=contrib origin ftp2.fr.debian.org
Dans cet exemple 500 indique la priorité assignée au dépôt http://ftp2.fr.debian.org stable/contrib. Les variables telles release v=5.0.5,o=Debian,a=stable,n=stable,l=Debian,c=contrib serviront à compléter la ligne Pin des entrées du fichier preferences et sont donc expliquées au paragraphe qui la concerne un peu plus bas.
Détaillons ligne par ligne les entrées du fichier preferences:
Ligne Package
C'est là qu'est indiqué le nom du paquet épinglé ou * si l'épinglage concerne tout un groupe de paquets défini par la ligne Pin.
Ligne Pin
Cette ligne servira à indiquer quels paquets seront concernés par l'épinglage de cette entrée. Pour cela on se sert d'une (ou plusieurs) variable(s) indiquée(s) à la ligne release du apt-cache policy, dans l'exemple précédent: release v=5.0.5,o=Debian,a=stable,n=stable,l=Debian,c=contrib.
Les fichiers de configuration des dépôts se trouvent dans /var/lib/apt/lists/. La valeur de ces variables (v,o,a,n,...) est indiquée dans les fichiers *Release comme par exemple /var/lib/apt/lists/ftp2.fr.debian.org_debian_dists_stable_Release dont voici la partie qui nous interesse:
Origin: Debian Label: Debian Suite: stable Version: 5.0.5 Codename: stable Date: Sat, 26 Jun 2010 12:12:50 UTC Architectures: alpha amd64 arm armel hppa i386 ia64 mips mipsel powerpc s390 sparc Components: main contrib non-free Description: Debian 5.0.5 Released 26 June 2010
La commande apt-cache policy n'est qu'un moyen très accessible de synthétiser cela et de voir quelles sont les priorités qu'APT attribue à un, plusieurs ou des ensembles de paquets.
Ainsi cette entree:
Package: * Pin: release o=Debian,a=stable Pin-Priority: 900
Se lit donc comme suit:
Package: * -> L'ensemble des paquets Pin: release o=Debian,a=stable -> se trouvant dans des dépôts dont la variable Origin (o) a pour valeur "Debian" et la variable Suite (a) a pour valeur "stable" Pin-Priority: 900 -> ont une priorite de 900
Et cette entrée ci:
Package: ardour Pin: release a=now Pin-Priority: 1001
Se lit donc comme suit:
Package: ardour -> Le paquet ardour Pin: release a=unstable -> se trouvant dans des dépôts dont la variable Suite (a) a pour valeur "now" Pin-Priority: 1001 -> a une priorite de 1001
Voyons maintenant quelles peuvent être ces valeurs:
o= correspond à Origin dans notre exemple -> Pin: release o=Debian l= correspond à label dans notre exemple -> Pin: release l=Debian a= correspond à Suite dans notre exemple -> Pin: release a=stable v= correspond à Version dans notre exemple -> Pin: release v=5.0.5 c= correspond à Components dans notre exemple -> Pin: release c=contrib n= correspond à Codename dans notre exemple -> Pin: release n=stable
On peut donc inclure une ou plusieurs de ces variables dans la ligne Pin. Il n'est pas forcément utile de les inclure toutes, une ou deux bien utilisées peuvent tout à fait être suffisantes.
Ligne Pin-Priority
C'est sur cette ligne qu'est indiquée la priorité du paquet ou groupe de paquets. Elle doit être un entier positif ou négatif. Ces priorités sont interprétés à peu près comme suit:
P >= 1000 Cette priorité entraîne l'installation du paquet même s'il s'agit d'un retour en arrière. 990 <= P < 1000 La version sera installée, même si elle n'appartient pas à la distribution par défaut ; mais elle ne sera pas installée si la version installée est plus récente. 500 <= P < 990 La version sera installée, sauf s'il existe une version appartenant à la distribution par défaut ou si la version installée est plus récente. 100 <= P < 500 La version sera installée, sauf s'il existe une version appartenant à une autre distribution ou si la version installée est plus récente. 0 < P < 100 La version sera installée si aucune version du paquet n'est installée. P < 0 Cette priorité empêche l'installation de la version.
Les quelques recommandations qui suivent devraient vous aider a établir des priorités qui ne mettront pas votre système en danger. Dans ce qui suit, branche principale désigne la branche de Debian que vous avez choisie de suivre en priorité (stable, testing ou sid), les autres dépôts présents dans le sources.list ne servant qu'à y piocher des paquets si besoin est.
- Garder des priorités identiques pour les dépôts Debian officiels d'une même branche. C'est le comportement par défaut (quand on a que les dépôts de la branche principale dans le sources.list sans preferences). Tout manquement à cette règle casse le comportement par défaut et peut générer des résultats très dommageables car non prévus par les développeurs Debian.
- Attribuer une priorité comprise entre 500 et <990 pour la branche principale et la/les branche(s) comportant des paquets aux versions =< à cette branche principale.
Pourquoi <990? Car lorsque l'on utilise l'option -t branche pour piocher des paquets dans une autre branche que la principale, celle-ci devient temporairement la branche par défaut et a donc une priorité de 990. On comprend donc aisément qu'avoir une priorité =>990 pour la branche principale perturbe cette option.
Les méthodes pour piocher dans les différents dépôts sont expliquées un peu plus bas, dans le paragraphe Comment piocher dans les différents dépôts du sources.list? ce qui devrait clarifier ce point.
- Attribuer une priorité comprise entre 1 et <100 pour la/les branche(s) comportant des paquets aux versions > à la branche principale. Ceci permet d'installer les paquets à la demande ou a aptitude de le faire simplement en cas de besoins sans pour autant "suivre" les paquets installés à partir des ces dépôts.
Si on veut les "suivre", c'est a dire qu'ils se mettent à jour automatiquement si une nouvelle version est placée dans ces dépôts lors d'une mise a jour, il est normalement suffisant d'attribuer une priorité à ces branches comprise entre 100 et <500. Si c'est envisageable individuellement ce n'est pas prudent pour un preferences générique du fait des dépendances.
- D'un point de vue pratique, utiliser des chiffres ronds (900, 800, 90...). Cela permet d'adapter facilement le preferences en fonction des besoins individuels (ajout de dépôts, etc) sans avoir à décaler toutes les autres entrées dans le preferences et c'est ainsi beaucoup plus lisible et donc facile de faire la différence entre les différentes priorités des dépôts à la lecture du apt-cache policy.
Comment piocher dans les différents dépôts du sources.list?
Tout d'abord, pour que le fichier preferences soit pris en compte après une modification, il vous faut mettre à jour APT en utilisant soit la commande apt-get update, soit la commande aptitude update. Vérifiez ensuite à l'aide de apt-cache policy que les priorités sont correctes.
Il y a deux manières d'indiquer à APT d'aller piocher dans des dépôts différents que ceux de la branche principale (les commandes qui suivent sont valable à la fois pour apt-get et pour aptitude):
- Vous utiliserez apt-get install -t branche paquet(s) si vous voulez installer un paquet avec une version supérieure à celle qui se trouve dans votre branche principale. Par exemple, cette branche est testing et vous voulez utiliser le paquet ardour présent dans sid parce qu'il est plus récent, vous utiliserez cette commande:
apt-get install -t unstable ardour
Lorsque l'on utilise l'option -t branche pour installer des paquets d'une autre branche que la principale, celle-ci devient temporairement la branche par défaut et a donc une priorite de 990. Du coup les dépendances sont mieux gérées.
- Vous utiliserez apt-get install paquet/branche si vous voulez rétrograder la version d'un paquet. Par exemple, votre branche principale est unstable et vous voulez installer la version d'ardour de testing parce qu'elle est moins boguée, vous utiliserez cette commande:
apt-get install ardour/testing
Le problème c'est que APT voudra remettre à niveau le paquet rétrogradé lors de la prochaine mise a jour. Il faut donc bloquer le paquet dans sa version nouvellement installée. Pour cela il y a deux possibilités:
- Soit utiliser la commande aptitude hold paquet. Pour débloquer le paquet il suffira de lancer la commande aptitude unhold paquet. La commande aptitude search ~U permet de voir la liste des paquets à mettre à jour, les paquets que vous avez bloqué par cette méthode y apparaitront précédés d'un h.
- Soit épingler le paquet dans le fichier preferences avec une priorite de 1001 et en renseignant la ligne Pin avec le numéro de version du paquet bloqué ou avec la variable release a=now.
Par exemple si je veux rétrograder ardour de la version 1:2.8.11-1 présente dans sid à la version 1:2.8.9-1 présente dans testing, j'effectuerai un aptitude install ardour/testing avant d'ajouter cette entrée dans le preferences:
Package: ardour Pin: version 1:2.8.9-1 Pin-Priority: 1001
Si vous avez un doute sur le numéro de version à insérer dans la ligne Pin, un apt-cache policy paquet vous renseignera, dans le cas de notre exemple:
# apt-cache policy ardour ardour: Installé: 1:2.8.11-1 Candidat: 1:2.8.11-1 Table de version: *** 1:2.8.11-1 0 500 http://ftp2.fr.debian.org sid/main Packages 100 /var/lib/dpkg/status 1:2.8.9-1 0 500 http://ftp2.fr.debian.org squeeze/main Packages
Encore plus simple, vous pouvez assigner à la ligne Pin la variable de release a=now, variable que l'on pourrait expliquer par paquet(s) installe(s) maintenant.
Package: ardour Pin: release a=now Pin-Priority: 1001
Dans notre exemple, avec cette entrée, le paquet ardour qui est installé maintenant sera forcément installé même s'il s'agit d'un retour en arrière, donc ne sera pas mis à jour. Pour débloquer le paquet il suffira d'enlever son entrée du fichier preferences.
N'hésitez pas à simuler en utilisant l'option de simulation -s. Par exemple faire apt-get install -s ardour/testing va simuler le downgrade du paquet ardour sans l'appliquer réellement, ça permet de vérifier que le comportement de la commande est bien celui que vous attendez. Si tout se passe bien effectuez réellement la commande en enlevant l'option -s. cette option fonctionne également avec aptitude, ou encore en combinaison avec l'option -t (par exemple apt-get install -s -t unstable ardour), aussi pour effectuer des mises à jour (par exemple aptitude safe-upgrade -s), etc... C'est une sécurité non négligeable.
Stable
L'intérêt de la branche stable est sa stabilité (étonnant non?). Donc la mélanger avec les autres branches est souvent une très mauvaise idée. Si vous avez besoin de paquets plus récents préférez les dépôts backports, la compilation, ou tout simplement utilisez une autre branche principale à la place!
Etant donné qu'il est fortement déconseillé de mélanger stable et les branches supérieures, il est préférable de n'avoir que ses entrées dans le sources.list. Le fichier preferences est donc inutile, sauf éventuellement si vous souhaitez utiliser les dépôts backports. Dans ce cas, surtout n'en abusez pas. Installez uniquement les paquets des backports dont vous avez vraiment besoin.
Le sources.list adéquat dans ce cas peut-être celui ci:
ATTENTION!, évitez le copier/coller "bête et méchant" et essayez de comprendre et d'adapter à vos besoins le sources.list qui suit. Cette page sur le sources.list peut vous y aider.
# stable deb http://ftp.fr.debian.org/debian/ jessie main contrib non-free #deb-src http://ftp.fr.debian.org/debian/ jessie main contrib non-free # stable security deb http://security.debian.org/ jessie/updates main contrib non-free #deb-src http://security.debian.org/ jessie/updates main contrib non-free # stable volatile deb http://ftp.fr.debian.org/debian/ jessie-updates main non-free contrib #deb-src http://ftp.fr.debian.org/debian/ jessie-updates main non-free contrib # backports deb http://backports.debian.org/debian-backports jessie-backports main contrib non-free
Les dépôts backports ont par défaut une priorité de 100.
Pour installer un paquet depuis les backports, utilisez l'option -t:
apt-get install -t jessie-backports paquet aptitude install -t jessie-backports paquet
Pour plus d'informations, reportez vous au site des backports (en anglais)
Si en dépit du bon sens et malgré ces avertissements vous souhaitez avoir stable comme branche principale mais pouvoir piocher dans les autres branches, alors il vous faudra un sources.list de ce genre:
ATTENTION!, évitez le copier/coller "bête et mechant" et essayez de comprendre et d'adapter à vos besoins le sources.list qui suit. Cette page sur le sources.list peut vous y aider.
# stable deb http://ftp.fr.debian.org/debian/ stable main contrib non-free #deb-src http://ftp.fr.debian.org/debian/ stable main contrib non-free # stable security deb http://security.debian.org/ stable/updates main contrib non-free #deb-src http://security.debian.org/ stable/updates main contrib non-free # stable volatile deb http://ftp.fr.debian.org/debian/ stable-updates main non-free contrib #deb-src http://ftp.fr.debian.org/debian/ stable-updates main non-free contrib # testing deb http://ftp.fr.debian.org/debian/ testing main contrib non-free #deb-src http://ftp.fr.debian.org/debian/ testing main contrib non-free # testing security deb http://security.debian.org/ testing/updates main contrib non-free #deb-src http://security.debian.org/ testing/updates main contrib non-free # sid deb http://ftp.fr.debian.org/debian/ sid main contrib non-free #deb-src http://ftp.fr.debian.org/debian/ sid main contrib non-free
Accompagné de ce fichier preferences:
Package: * Pin: release a=stable Pin-Priority: 900 Package: * Pin: release a=testing Pin-Priority: -10 Package: * Pin: release a=unstable Pin-Priority: -10
Si vous vous contentez de faire les mises à jour et installer normalement des paquets, votre système sera exactement dans le même état que s'il n'avait que le dépôt stable sans preferences, y compris si vous essayez d'installer sans le savoir un paquet non présent dans les dépôts stables mais présent dans une autre branche.
Par contre si vous voulez installer un paquet d'une autre branche, vous ne pourrez le faire que de façon volontaire. Avec ce preferences il faut vraiment le vouloir pour casser sa Debian stable.
Testing
Les dépôts testing dépendent de l'arrivée de paquets en provenance de sid. Il se peut donc que ces dépôts ne soient pas complets ou entrainent des problèmes de dépendances. Installer une testing seule c'est un peu installer une version à trous de Debian puisqu'elle est très souvent incomplète, du coup l'épinglage est plutot recommandé.
En testing il vaut mieux utiliser dist-upgrade à la place de upgrade (ou les équivalents pour aptitude), car de toutes façons durant le cycle de développement le dist-upgrade sera souvent indispensable. N'hésitez pas à user et abuser de la simulation (option -s d'apt-get et aptitude).
Vous pouvez donc utiliser un sources.list complet tel que celui là:
ATTENTION!, évitez le copier/coller "bête et méchant" et essayez de comprendre et d'adapter a vos besoins le sources.list qui suit. Cette page sur le sources.list peut vous y aider.
# stable deb http://ftp.fr.debian.org/debian/ stable main contrib non-free #deb-src http://ftp.fr.debian.org/debian/ stable main contrib non-free # stable security deb http://security.debian.org/ stable/updates main contrib non-free #deb-src http://security.debian.org/ stable/updates main contrib non-free # stable volatile deb http://ftp.fr.debian.org/debian/ stable-updates main non-free contrib #deb-src http://ftp.fr.debian.org/debian/ stable-updates main non-free contrib # testing deb http://ftp.fr.debian.org/debian/ testing main contrib non-free #deb-src http://ftp.fr.debian.org/debian/ testing main contrib non-free # sid deb http://ftp.fr.debian.org/debian/ sid main contrib non-free #deb-src http://ftp.fr.debian.org/debian/ sid main contrib non-free # experimental deb http://ftp.fr.debian.org/debian/ experimental main contrib non-free #deb-src http://ftp.fr.debian.org/debian/ experimental main contrib non-free
Avec ce fichier preferences:
Package: * Pin: release a=testing Pin-Priority: 900 Package: * Pin: release a=stable Pin-Priority: 900 Package: * Pin: release a=unstable Pin-Priority: 90
Vous serez ainsi en testing par défaut, d'éventuels paquets manquants seront complétés par les dépôts de stable. Et vous pourrez toujours choisir d'installer des paquets de sid (voire experimental) en utilisant l'option -t.
Les dépôts experimental ont par défaut une priorité de 1 et sont tout à fait facultatifs!
Sid
Comme testing, sid n'est pas toujours complète d'où l'utilité d'avoir les autres branches facilement accessibles. Cela dit il faut quand même surveiller ce qui se passe lors des modifications sur les paquets, et ce d'autant plus quand l'on utilise aptitude qui propose souvent des solutions complexes.
Pour le sources.list suivant:
ATTENTION!, évitez le copier/coller "bête et méchant" et essayez de comprendre et d'adapter à vos besoins le sources.list qui suit. Cette page sur le sources.list peut vous y aider.
# stable deb http://ftp.fr.debian.org/debian/ stable main contrib non-free #deb-src http://ftp.fr.debian.org/debian/ stable main contrib non-free # stable security deb http://security.debian.org/ stable/updates main contrib non-free #deb-src http://security.debian.org/ stable/updates main contrib non-free # stable volatile deb http://ftp.fr.debian.org/debian/ stable-updates main non-free contrib #deb-src http://ftp.fr.debian.org/debian/ stable-updates main non-free contrib # testing deb http://ftp.fr.debian.org/debian/ testing main contrib non-free #deb-src http://ftp.fr.debian.org/debian/ testing main contrib non-free # testing security deb http://security.debian.org/ testing/updates main contrib non-free #deb-src http://security.debian.org/ testing/updates main contrib non-free # sid deb http://ftp.fr.debian.org/debian/ sid main contrib non-free #deb-src http://ftp.fr.debian.org/debian/ sid main contrib non-free
Il n'y a pas besoin de fichier preferences puisque par défaut tous les dépôts ont la même priorité, et à priorités égales c'est le paquet le plus récent qui est prioritaire. Ce qui veut dire que c'est le paquet de sid qui sera installé. Pour les paquets qui sont présents dans différents dépôts et qui ont strictement le même numéro de version (60 à 90% des paquets testing/sid) c'est l'ordre dans le sources.list qui joue, mais ça n'a dans le fond aucune importance puisque ce sont strictement les mêmes paquets.
Si vous souhaitez utiliser les dépôts experimental, utilisez un sources.list complet comme celui présenté dans le paragraphe Testing. Les dépôts experimental ont par défaut une priorité de 1 et sont tout à fait facultatifs!
Multimédia
Les dépôts multimedia ne sont pas des dépôts officiels et peuvent troubler la stabilité de votre système. Si vous souhaitez les utiliser quand même, assurez vous d'avoir une bonne raison pour cela et attribuez leur une priorité inférieure à celles des dépôts officiels.
Les adresses de ces dépôts à ajouter au sources.list sont les suivantes :
Pour stable :
# stable multimedia deb http://www.deb-multimedia.org jessie main non-free #deb-src http://www.deb-multimedia.org jessie main non-free
Pour testing :
# testing multimedia deb http://www.deb-multimedia.org testing main non-free #deb-src http://www.deb-multimedia.org testing main non-free
Pour sid :
# sid multimedia deb http://www.deb-multimedia.org sid main non-free #deb-src http://www.deb-multimedia.org sid main non-free
Une entrée de ce style dans le fichier preferences devrait éviter les problèmes :
Package: * Pin: release o=Unofficial Multimedia Packages Pin-Priority: 100
Il existe aussi des dépôts multimedia pour la branche experimental :
# experimental multimedia deb http://www.deb-multimedia.org experimental main #deb-src http://www.deb-multimedia.org experimental main
Les dépôts experimental officiels ont par défaut une priorité de 1, par contre les dépôts experimental multimedia sont à 500, donc faites y attention. Autant dire que les dépôts experimental sont tout à fait facultatifs, à plus forte raison ceux de experimental multimedia. Vous pouvez parfaitement retirer sans problèmes toutes références aux dépôts de la branche experimental du sources.list et du fichier preferences. Mais si vous souhaitez quand même utiliser les dépôts experimental multimedia, ajoutez l'entrée qui suit à votre fichier preferences :
Package: * Pin: release o=Unofficial Multimedia Packages,a=experimental Pin-Priority: 1