J'ai essayé de trouver une réponse directe à cette question, mais je ne la trouve nulle part. Les mises à niveau automatiques pour les correctifs de sécurité redémarrent-elles automatiquement les services? Si oui, y a-t-il un moyen de l’empêcher de le faire pour certains paquets où cela peut être très perturbant comme postgresql par exemple? Et, y a-t-il des endroits dans les journaux où vous pouvez voir quand un service a été redémarré pour la dernière fois?
Pour répondre à cette question, il est d'abord important de préciser que les mises à jour sans assistance est un service qui exécute fondamentalement une "mise à niveau apt", automatiquement, en votre nom. Si vous avez déjà mis à niveau un package, vous remarquerez que nombre d'entre eux déclenchent des actions dans le cadre du processus. Par exemple, si vous mettez à niveau rsync, vous remarquerez que le démon est redémarré:
Setting up rsync (3.1.0-2ubuntu0.2) ...
* Restarting rsync daemon rsync [ OK ]
En général, les paquets Debian bien écrits contenant des démons (en d’autres termes, des services en cours d’exécution) redémarreront ces démons dans le cadre de la mise à niveau; si cela ne se produit pas pour un paquet qui vous tient à coeur, créez un bogue (et si possible, corrigez-le).
Il existe un cas important où cela ne se produit pas: lorsque, au lieu de mettre à niveau le service lui-même, vous mettez à niveau un package système dont il dépend. Un exemple qui me vient à l’esprit est openssl, utilisé par de nombreux services qui implémentent le support SSL. Pour ceux-là, un redémarrage manuel du service est requis, et si vous ne savez pas combien ou quels sont ceux qui doivent être redémarrés, un redémarrage résout le problème.
Pour éviter la mise à niveau de certains packages, ajoutez des packages à la strophe de configuration Unattended-Upgrade :: Package-Blacklist; voir la réponse à Puis-je configurer les mises à niveau sans surveillance pour ne pas mettre à niveau les packages nécessitant un redémarrage? pour obtenir un exemple de syntaxe.
Enfin, en ce qui concerne les mises à niveau, il vaut la peine de brancher le service canonical-livepatch qui fournit des mises à niveau gratuites en direct, sans surveillance, pour les correctifs de sécurité critiques du noyau. Si vous ne l'avez pas vérifié, vous devriez.