Realmente, esse comportamento é meio chato mesmo. Andei pesquisando sobre o assunto e inclusive existe um bug aberto sobre o caso, em http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=431869 .

Eu até mesmo enviei uma mensagem para acrescentar uma informação ao bug citado acima hoje ao receber seu comentário.

É interessante observar que em outro bug citado nos comentários, o bug em http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=174091, o desenvolvedor do aptitude comenta que o problema parece ocorrer somente quando se coloca um pacote em hold usando o aptitude em linha de comando e não usando a interface ncurses do mesmo.

Não sei se é muit válido essa observação já que, como eu acrescentei nos comentários do primeiro bug citado, o apticron, apesar de recomendar o uso do aptitude em suas mensagens de notificação, não faz uso do mesmo internamente e sim do apt-get.

Vou acompanhar esses bugs pois também estou interessado em ver esse comportamento que também considero chato corrigido, se possível.

Obrigado pelo comentário.

estou usando o apticron também, mas tem algo chato com ele que é o fato de não respeitar os pacotes que estão em hold. Em uma máquina Ubuntu em que precisava do repositório backports, eu tive que colocar o postfix em hold e recebo o aviso todos os dias da atualização. Pode-se argumentar que o repositório de backports não deveria ter sido adicionado, mas ainda acho que deveria ter uma opção de respeitar os pacotes on hold.

É importante deixar claro que não é porque somente devido ao fato de, até o momento, você não ter tido nenhuma pergunta adicional para pacotes originados dos repositórios de atualizações de segurança isso signifique que nenhuma pergunta irá aparecer.

Não existe nada na política de empacotamento Debian que forneça um tratamento especial as atualizações de segurança nesse sentido, portanto, nunca se pode garantir que esse tipo de problema não acontecerá.

Logicamente, a idéia é sempre ter todos os pacotes Debian utilizando debconf para gerenciamento básico de configuração inicial (mas não para toda a configuração, como um registro do Microsoft Windows, por exemplo).

Com isso, ganha-se com o fato do debconf lembrar suas últimas respostas as perguntas feitas anteriormente e não lhe fazer novamente as mesmas perguntas.

De qualquer forma, mesmo não se tendo certeza sobre suas respostas anteriores (e isso é fácil de se checar) é relativamente fácil usar pré-alimentação debconf (debconf preseeding) para fornecer as respostas para as perguntas antes que as mesmas sejam feitas.

De qualquer forma, esse é um tema recorrente nas diversas listas de discussão do projeto Debian e sempre que a discussão retorna, depois de muita discussão, no final sempre se acaba chegando a conclusão de que atualizações 100% automatizadas (ainda mais em ambientes de produção) não são recomendadas por ainda não ser algo completamente suportado.

Infelizmente, pessoalmente acredito que isso não será algo suportado por um bom tempo. Lógico que todos os pacotes deveriam seguir 100% as políticas de empacotamento e deixar os arquivos de configuração intocados quando detectam alguma modificação feita manualmente, mas, apesar de muito avança ter sido feito nesse sentido, ainda não estamos 100% lá ainda.

Sei também que atualizações de segurança não introduzem novas funcionalidades devido a não ser permitido a inclusão de novas versões de softwares como política do projeto e isso ajuda bastante no sentido de termos confiança em não termos surpresas desagradáveis na aplicação de atualizações de segurança, mas, ainda assim, não se trata de algo 100% suportado e nem mesmo indicado.

Basicamente é : faça por sua conta e risco. E, quando o risco não é somente meu mas sim de servidores de produção de meus clientes, prefiro seguir o conselho de quem desenvolve a tecnologia que estou usando a me aventurar

Obrigado pelo comentário.

Eu utilizo o cron-apt e faço o upgrade automático com ele. Só uma dica, os pacotes que vem do repositório de segurança não pergunta nada ao usuário, portanto é seguro colocá-los para serem atualizados (nesse caso, é importante especificar etch ao invés de stable no sources.list para evitar problemas com uma nova versão).

Eu também coloco o repositório main do Debian stable para atualização automática, uma vez que ele não adiciona funcionalidades aos softwares (apenas corrige bugs), provavelmente novas perguntas não acontecerão (perguntas que você já respondeu, pelo que já percebi — mas não posso confirmar — não são perguntadas novamente).

Até,
semente

PS: eu utilizo um sources.list separado para o cron-apt apenas com repositórios “stable/main”, daí em servidores que preciso de outros repositórios não correrão o risco de serem atualizados automaticamente.