让APT不自动安装推荐包

Ubuntu里面apt-get会自动安装推荐包。如果要禁用掉自动安装推荐包，可以用apt-get的--no-install-recommends参数，永久禁用可以在/etc/apt/apt.conf里面加入

APT::Install-Recommends "false";

Aptitude可以在其设置里面禁用此功能，Synaptic也可在其设置中禁用该功能。

yum的autoremove功能

Debian下apt-get有个autoremove功能，可以卸载不再需要的被依赖（depended）包：

autoremove
           autoremove is used to remove packages that were automatically
           installed to satisfy dependencies for some package and that are no
           more needed.

但是yum没有这个命令，而且也没有这样的功能。比如我刚刚安装了vim-enhanced，同时新安装了一堆被依赖包，这些包都是只被vim-enhanced依赖的。yum remove vim-enhanced只会卸载vim-enhanced，而不会卸载这些依赖包，这样卸载完后这些包都成了无用的包。

目前可以安装yum-plugin-show-leaves插件，在yum输出的最后显示新的leaves（不被其它包依赖）：

不过这个东西也不靠谱，vim安装的依赖包可不止最后的gpm-libs、ruby-libs和vim-common这三个，我在yum.log里面又找到了好多：

前12个都是vim依赖的包，我要都在命令行指定删除。这很麻烦的。

找到一篇文章，yum里面已经提供了类似的功能，不过在Fedora 14里面还没有出现。但愿这个功能能够普及。

Unattended Upgrades

Ubuntu下的unattended-upgrades包可以自动安装安全更新。apt包提供的/etc/cron.daily/apt文件可以识别unattended-upgrades的设置，该设置在/etc/apt/apt.conf.d/10periodic中定义。默认是不启用的，要添加

APT::Periodic::Unattended-Upgrade "1";

到10periodic中方可。

在GNOME菜单的“软件源”中，若勾上“不确认就安装安全更新”，则立刻在10periodic文件中添加该行。

多说一句的是，10periodic文件是由update-notifier-common包提供的：

# apt-file search 10periodic
update-notifier-common: /etc/apt/apt.conf.d/10periodic

APT

在服务器上安装update-notifier-common，可以在console下登录后显示可用更新，因为该包安装了/etc/update-motd.d/90-updates-available，可以动态更新MOTD（Message
Of The Day）。但是后台的更新并不是由该包实现，而是由apt包实现，该包安装了/etc/cron.daily/apt，用于检查更新。此外，unattended-upgrades是为了实现自动、无人干预下的安全更新安装。

貌似现在apt相关的软件挺多，关联也比较复杂，但是只要软件提供了清晰的文档，耐心阅读文档，就可以搞清楚都是干什么的。

Debian如何保证安装包的安全

Debian如何确保用户从镜像下载的文件不是被人篡改的呢？简单地说，就是Debian对Release文件（包含各个包的MD5指纹）进行签名，用户通过Debian提供的公钥来验证签名文件（Release.gpg），以确保各个包的MD5指纹和Debian提供的一致（表明其未被篡改）。详细的介绍见Debian的文档：

http://wiki.debian.org/SecureApt