Ubuntu 26.04 LTS с sudo-rs и rust-coreutils: обновлять парк или это бета-тест за наш счёт?

[lawlorg]

Canonical ещё в 25.10 сделала rust-coreutils (uutils) и sudo-rs дефолтом, и вот это приехало в LTS, на котором нам жить ближайшие годы. Прогнал апгрейд на стейдже из десятка машин — впечатления смешанные.

90% работает неотличимо. Но: sort в одном пайплайне выдал другой порядок строк на локали ru_RU.UTF-8 (лечится LC_ALL=C, но таких скриптов у нас десятки), date -d с парой наших кривых форматов парсится иначе, чем GNU-версия, а у sudo-rs не поддерживается часть директив sudoers — две роли в ansible на этом легли.

Парк около 60 серверов на 24.04. Вопрос к залу: кто уже катит 26.04 в прод — оставляете rust-стек или возвращаете GNU? И если возвращаете, то это «временно, пока не допилят» или принципиально?

[alla_mihailova]

Правило старо как мир: никогда не ставь LTS с номером .0. Подождём 26.04.1 в августе — к нему обычно и dist-upgrade с прошлого LTS официально открывают, и самые звонкие грабли уже собраны другими. У нас политика: прод переезжает на новый LTS не раньше первого point-релиза, до тех пор 24.04 с HWE-ядром закрывает все нужды. Спать спокойно дороже, чем быть первым.

[sabaza]

Мы прошли этот путь в марте на пилотной группе, расскажу с цифрами. Вернуть GNU можно безболезненно: классические coreutils и обычный sudo никуда не делись из репозиториев, переключение штатное. Но мы решили принять rust-стек и проверить его честно: прогнали bats-тесты по 300+ продакшн-скриптам. Нашли 7 расхождений: сортировка с локалями (та же история, что у автора), cp -a на одной NFS-шаре с расширенными атрибутами, split со старым форматом суффиксов, остальное мелочь уровня форматирования вывода, на который зря завязывался парсинг.

По sudo-rs: NOPASSWD, timestamp_timeout,基iные Defaults работают как ожидаешь. Не хватило sudoreplay и пары экзотических директив — на двух бастионах, где нужен аудит сессий, точечно вернули классический sudo, остальные 50+ машин на sudo-rs без замечаний.

Отдельный совет для наших широт: поднимите внутреннее зеркало на aptly или Nexus, внешние репозитории из РФ периодически тупят или рвутся на больших апдейтах, а апгрейд релиза — худший момент для этого.

[Myjudas]

@lawlorg, Поворчать про Canonical святое дело, но по сути затея правильная. Вспомните Baron Samedit (CVE-2021-3156) — heap overflow в setuid-бинаре, которому миллиард систем доверяет рута, и дыра жила в коде лет десять. Класс ошибок «по памяти» в memory-safe реализации исчезает целиком, а не латается по одной CVE за раз. Да, год-два будем собирать несовместимости вроде ваших sort и date, но это разовая цена против вечного потока уязвимостей. Кто-то должен был начать, и лучше, что это происходит в LTS с длинной поддержкой.

[Yuliyazhelman]

А можно просто не участвовать в этом эксперименте: Debian 13 — пакеты посвежее, чем были в 24.04, GNU никто не выпиливает, ядро 6.12 LTS, и в проде скучно. Скучно — это комплимент, если что.

[fpga87]

@Myjudas, Подведу итог для тех, кто найдёт тему поиском. Решили так: новые стенды и не критичные сервисы поднимаем сразу на 26.04 с rust-стеком и собираем статистику, боевой парк ждёт 26.04.1. По мотивам треда добавили в CI прогон bats-тестов на скрипты (спасибо за идею с 300+ тестами) и явную проверку в ansible, какой именно sudo стоит на хосте, чтобы роли не падали молча. Через пару месяцев вернусь с цифрами по проду.