Ich verwalte mehrere Linux-Server für Clients in verschiedenen Rollen wie E-Mail, Caching, Web-Serving, Filtern, Firewall / Routing und so weiter.
Da ich diese Computer nicht besitze und nur Remote-Support anbiete, scheinen zentrale Verwaltungssysteme wie Puppet nicht das richtige Werkzeug zu sein. (Bitte korrigieren Sie mich, wenn Sie denken, dass ich mich in dieser Annahme irre.)
Welche Tools empfehlen Sie, um Änderungen an Konfigurationsdateien, Paketinstallationen usw. nachzuverfolgen?
Ich denke, so etwas wie Etckeeper ist vielleicht in der Nähe von dem, was ich brauche, aber ich möchte wissen, ob es etwas besseres gibt.
Aktualisieren
Wir werden Sicherungen der Systeme haben, und ich würde nicht erwarten, dass diese Art von Werkzeug eine Alternative zu einer Sicherung ist. Hier geht es darum, Konfigurationsänderungen im Auge zu behalten und ein System zu haben, das weiß, was sich wann, von wem und hoffentlich warum geändert hat.
quelle
Antworten:
Ich habe eine Überwachungsfunktion auf meiner persönlichen Workstation, aber ich habe noch nicht viel damit zu tun gehabt (abgesehen davon, dass alle meine Änderungen protokolliert wurden). Scheint so, als ob es eine vernünftige Arbeit leistet, um sicherzustellen, dass Sie zumindest wissen, woran es gelegen hat.
Ich würde Puppet nicht als Lösung abschreiben - solange einige der Dienste auf der Maschine in Ihrer Verantwortung sind, dann ein System, das sicherstellt, dass, wenn jemand Ihre Konfiguration wackelt, diese so zurückgesetzt wird, wie Sie es möchten ist ein Glücksfall.
Wenn andere jedoch regelmäßig Änderungen vornehmen (und dies normalerweise nicht vermasseln), müssen Sie möglicherweise nur nachverfolgen, was andere für eine spätere Notfallwiederherstellung getan haben. Vergessen Sie nicht, dass die Dinge überall geändert werden, sodass ein Checkpoint-Tool mit vollem Rechner möglicherweise besser ist. Ich würde vielleicht sogar in Betracht ziehen, ein inkrementelles Backup auf der gesamten Festplatte durchzuführen (wie z. B. rdiff-backup oder so), um sicherzugehen, dass Sie alles protokollieren (möglicherweise Drop / Home-Bereiche und andere Bereiche auf Benutzerebene außerhalb des Backups, wenn Sie nur möchten administrative Änderungen verfolgen).
quelle
Vielleicht möchten Sie sich Tripwire oder AIDE ansehen
Beide werden Konfigurationsdateiänderungen auf Ihren Maschinen verfolgen.
quelle
Ich habe mir etckeeper angeschaut, aber ich habe es nicht benutzt. Ich habe jedoch Changetrack verwendet . Ich benutze es seit vielen Jahren auf allen meinen Heimcomputern und bei meinem vorherigen Job war es Teil unserer Standard-Serverinstallation. Wir haben es dort in den letzten fünf Jahren verwendet und es auf ungefähr 200 Boxen installiert.
Das Setup ist trivial (ich habe bei meinem letzten Job ein RPM dafür erstellt) und die Konfiguration ist wirklich einfach. Ich habe es im Allgemeinen so eingerichtet, dass es die gesamte Datei / etc / überwacht.
quelle
Zum Nachverfolgen von Paketänderungen (Installationen, Upgrades usw.) auf RPM-basierten Systemen wird jede Paketänderung angemeldet , sofern alle Änderungen mit
yum
oder vorgenommenyumex
wurden/var/log/yum.log
.Andere Personen haben bereits geantwortet, um Änderungen in nachzuverfolgen
/etc
. Vergessen Sie nicht, dass Sie auch Konfigurationsänderungen nachverfolgen möchten,bind
die teilweise/var
(zumindest bei vielen Linux-Distributionen) vorgenommen wurden und dass Webseiten/var/www
bei vielen Linux-Distributionen nicht vorhanden sind. Es gibt Verzeichnisse außerhalb/etc
, die wichtige Konfigurationsinformationen enthalten.Abhängig davon, wie die Dinge verwaltet werden, möchten Sie möglicherweise auch
/usr/local/etc
andere Verzeichnisbäume verfolgen (/opt
einige Bäume darunter/var
und alles andere, was für Ihre Kunden spezifisch ist).quelle
Als Ausgangspunkt sollten Sie sich Blueprint ansehen , mit dem eine Systemkonfiguration analysiert wird. Es ist zwar beabsichtigt, Konfigurationen für Puppet oder Chef zu erstellen, aber es gibt keinen Grund, warum Sie es nicht nur für die Berichterstellung verwenden könnten.
quelle
Ein einfaches Skript zur Dateiüberwachung ist filemon. Ich verwende es auf meinem Heim-PC und in Kombination mit crontab erledigt es einen einfachen und unkomplizierten Job. Für eine komplexere Lösung der Integritätsprüfung (Dateiänderungen, neu installierte Pakete und viele andere) verwende ich OSSEC auf einer Reihe von Servern.
quelle
Du könntest / etc unter ein dvcs wie git stellen. Sie würden jedes Mal festschreiben, wenn Sie Änderungen vornehmen, und dann könnten Sie jedes Mal, wenn Sie einen Job starten, einfach diff aktivieren und sich alle Änderungen anzeigen lassen.
quelle
LBackup unterstützt die Protokollierung des Löschens, Änderns und Hinzufügens von Dateien.
quelle