Wie gehen Sie mit dem zentralen Patch-Management für Linux um?

8

Ich verwende eine kleine (aber wachsende) Linux-Umgebung mit nicht mehr als 10 Linux-Servern.

Die Umgebung besteht aus CentOS 5 & 6 und Oracle Linux 5 & 6 Boxen. Alle diese werden einzeln über die entsprechenden Yum-Repos gepatcht.

Kann jemand eine Methode zur Zentralisierung des Patch-Managements für diese Server vorschlagen? Ich habe gehört, dass Puppet oft verwendet wird, aber ich habe es nie selbst verwendet und wäre daran interessiert, von anderen Systemadministratoren zu hören.

linux linkes Gehäuse
quelle

Antworten:

7

Die meisten Configuration Management-Tools sind wirklich gut darin. Marionette und Chefkoch sind zwei der beliebtesten und Radmind ist die, die ich benutze.
Die Dokumentation für das jeweilige Tool gibt Ihnen eine Vorstellung davon, wie das Patch-Management implementiert wird. Sie variiert von Tool zu Tool.

Weitere Optionen sind ein zentrales yum / apt / Whatever-Repository und selbst erstellte Skripte, mit denen Patches in festgelegten Intervallen (oder auf Anfrage) abgerufen werden können. Außerdem gibt es kommerzielle Lösungen von einigen großen Anbietern, von denen einige (wie RedHats RHN Satellite ) recht gut sind Hervorragend, wenn Sie die Zeit damit verbringen, zu lernen, wie sie funktionieren, und ihre Fähigkeiten wirklich nutzen.

Ein Punkt, auf den noch niemand hingewiesen hat, ist meiner Meinung nach Homogenität - machen Sie Ihre Server so weit wie möglich austauschbare Zahnräder, auf denen dieselbe Software ausgeführt wird. Dies vereinfacht das Patch-Management erheblich (die gleichen Patches müssen überall verfügbar sein) und IMHO erleichtert das Leben erheblich, wenn Ihre Umgebung wächst.

voretaq7
quelle
Puppe und Koch sehen komplex, aber interessant aus, und ich werde sie mir ansehen. Ich werde Ihre Antwort als meine akzeptierte Antwort markieren, da sie a) die Kunden unterstützt und in meiner Frage OOTB angegeben ist und b) am umfassendsten erscheint.
linker Fall
Puppet und Chef sind ziemlich komplex, aber die Dinge, die Sie wissen müssen, um loszulegen, sind in der Lernkurve ziemlich niedrig. Wenn Sie sich mit wirklich komplizierten Dingen beschäftigen, werden Sie froh sein, dass Sie eine ganze Programmiersprache in Ihrem CM-System haben.
voretaq7
6

Ich würde etwas in der Art von Spacewalk empfehlen . Es ist im Grunde die kostenlose Version der Red Hat Satellite-Software.

Eric
quelle
1
Insbesondere "das vorgelagerte Community-Projekt, von dem das Red Hat Network Satellite-Produkt abgeleitet ist".
Wesley
Spacewalk sieht fantastisch aus, aber es sieht ein bisschen wie eine PITA aus, mit Oracle Linux forums.oracle.com/forums/thread.jspa?threadID=2262193 zu arbeiten
leftcase
Leider habe ich Spacewalk noch nie mit Oracle Linux verwendet. Wir haben es hauptsächlich in einem Fedora / CentOS-Shop verwendet, daher wäre ich in diesem Bereich keine große Hilfe. Ich würde jedoch davon ausgehen, dass ein so beliebtes Produkt genügend Follower hat, die eine praktikable Methode für die Verwendung gefunden haben.
Eric
4

Da Sie sich mit Linux beschäftigen, sehen Sie sich ein bevorstehendes Projekt von Redhat an: Pulp .

Pulp ist eine modernere Lösung für das Problem, die speziell auf Paket- und Patch-Management, Audit usw. abzielt. Dies kann Puppe / Koch mit einigem Aufwand selbst tun. Pulp macht nur Pakete und Yum und überlässt das Konfigurationsmanagement der Puppe / dem Koch, wie es sein sollte. Es gibt eine Rest-API für Skripte usw.

Ich bin kein Fan von Spacewalk / Satellite, sondern von YMMV.

Nicht jetzt
quelle
Pulp sieht interessant aus, sieht aber auch ziemlich neu aus und mir ist nicht sofort klar, wie es möglich wäre, Oracle Linux-Clients für die Verwendung zu konfigurieren.
linker Fall
Pulp sieht interessant aus, ich frage mich, wie gut es die BSDs unterstützen wird (im Moment ist all das Patch-Management-Zeug, das ich sehe, stark an Paketmanager gebunden, also make worldstecken Leute wie ich, die unsere Patches machen, immer noch mit so etwas wie Radmind fest, um das zu verteilen Änderungen ...)
voretaq7
@leftcase Pulp installiert lediglich einen Agenten, der yum-Konfigurationsdateien hinzufügen / ändern kann. Ich habe es unter CentOS und RHEL verwendet und ich bin sicher, dass Oracle Linux genauso funktionieren wird. Darüber hinaus meldet der Agent Aktivitäten an einen zentralen Server zurück und fragt den Server nach paketbezogenen Befehlen ab, die ausgeführt werden sollen.
Nicht jetzt
3

Ja, wir verwenden Puppet für einen großen Cluster-Patch und die administrative Verwaltung. Eine andere Alternative für kleine Sets besteht darin, ein lokales Yum-Repo zu erstellen und Änderungen mit benutzerdefinierten RPM-Paketen bereitzustellen.

Chakri
quelle