Debian From Scratch更新和维护指南

Debian From Scratch 更新与维护指南

一 适用场景与总体策略

• 本指南面向两类读者：
  • 使用“从零构建”思路的 LFS（Linux From Scratch） 系统：无包管理器，更新需基于源码重建或迁移到发行版。
  • 使用 Debian 基础系统（如 debootstrap 生成的最小系统）：有 APT，可按发行版流程更新维护。
• 核心策略：
  • LFS：维护=“源码级变更管理+持续重建+严格回归测试”；若追求可维护性，建议尽快迁移到发行版或混合方案（如 BLFS 构建常用用户态组件）。
  • Debian 基础系统：维护=“APT 全量更新+安全更新+定期清理+备份与回滚预案”。

二 Debian 基础系统的更新与维护

• 日常更新与升级
  • 更新索引与升级软件包：sudo apt update && sudo apt upgrade
  • 处理依赖变化与重大变更：sudo apt full-upgrade
  • 删除无用依赖与旧包：sudo apt autoremove --purge
  • 清理本地缓存：sudo apt clean && sudo apt autoclean
• 安全与自动化
  • 安装并启用自动安全更新：sudo apt install unattended-upgrades && sudo dpkg-reconfigure unattended-upgrades
  • 检查定时器状态：systemctl status apt-daily.timer、systemctl status apt-daily-upgrade.timer
  • 预演自动更新：sudo unattended-upgrade --dry-run
• 内核与重大版本
  • 常规内核升级：sudo apt install linux-image-amd64（或对应架构包），完成后重启：sudo reboot
  • 跨版本升级（如 bookworm → trixie）：优先使用发行版工具（如 do-release-upgrade）；无图形环境或最小化系统可参考发行版文档的“手动升级”步骤，先备份、再调整源、执行 full-upgrade、核验并重启。
• 日志、临时文件与空间
  • 日志轮转与清理：sudo journalctl --vacuum-time=2weeks（或 --vacuum-size=50M）
  • 临时文件：sudo rm -rf /tmp/*
  • 磁盘与内存：df -h、free -h
• 防火墙与基础安全
  • UFW 快速启用：sudo ufw enable；状态检查：sudo ufw status
• 备份与回滚
  • 关键数据定时同步：rsync -av --delete /src/ /backup/
  • 建议对 /etc、/home、/var 及关键数据库/配置做版本化备份（如 rsnapshot、borgbackup）。

三 LFS 系统的更新与维护

• 适用前提
  • LFS 本身不包含包管理与安全更新机制，更新=“重新构建受影响组件或整套系统”，并需充分的回归测试与可回滚方案。
• 维护流程
  • 变更收集与影响评估：记录需要升级的软件包/库及其依赖链（构建顺序、ABI/API 变化）。
  • 源码获取与校验：从官方站点或可信镜像下载新版本，校验 GPG/SHA256；保留旧版本源码以便回滚。
  • 准备构建环境：确保 **工具链（GCC、Binutils、glibc 等）**与目标系统兼容；必要时先升级工具链并回归测试。
  • 按依赖顺序重建：遵循 LFS/BLFS 构建顺序，先核心工具链与基础库，再系统库与应用；每步执行 make check（若有）并记录结果。
  • 安装与切换：使用 make install DESTDIR=… 安装到临时根，完成全部组件后原子切换（如 rsync 到目标根分区或 initramfs 更新后重启）。
  • 引导与内核：若升级 Linux 内核，更新 GRUB 配置（grub-mkconfig -o /boot/grub/grub.cfg），并保留旧内核以便回滚；重启验证。
  • 验证与回滚预案：系统启动后检查服务状态（systemctl --failed）、关键命令可用性、日志错误（journalctl -p err…alert -b 0）；异常则切回旧版本根或旧内核。
• 风险提示
  • 全系统重建风险高，务必在测试环境验证；对生产环境采用蓝绿部署/双根切换降低停机时间。

四 常见问题与修复

• 依赖损坏或配置中断
  • 修复依赖：sudo apt --fix-broken install
  • 重新配置未完成的包：sudo dpkg --configure -a
• 旧内核清理（避免误删正在运行内核）
  • 列出内核：dpkg --list | grep ‘^ii’ | sed -n ‘/linux-image-/p’ | awk ‘{print $2}’ | sort -V
  • 删除旧版本（示例保留最近 2 个）：dpkg --list | grep ‘^ii’ | sed -n ‘/linux-image-/p’ | awk ‘{print $2}’ | sort -V | uniq | tail -n +3 | xargs sudo apt-get -y purge --auto-remove
• 清理后稳定性
  • 清理后执行：sudo apt update；必要时 sudo apt install -f 补齐缺失依赖；核验关键服务与日志。

五 维护计划与自动化

• 建议节奏
  • 每日：安全更新（自动）；必要时检查 unattended-upgrades 日志（/var/log/unattended-upgrades/）。
  • 每周：sudo apt update && sudo apt full-upgrade；检查服务与日志；清理日志与缓存。
  • 每月：审查与更新备份；检查磁盘/内存/SMART；复核防火墙规则与用户账户。
• 自动化示例
  • 系统级定时任务（/etc/crontab）：0 3 * * * root apt update && apt full-upgrade -y && apt autoremove -y && apt clean
  • 清理脚本要点：apt update、autoremove --purge、clean/autoclean、journalctl --vacuum-time=2weeks、/tmp 清理、旧内核清理、日志截断等。