Управление исправлениями в Linux

Question

Управление исправлениями в Linux

Я прохожу стажировку для установки системы управления патчами в Linux. Это компания по управлению ИТ-инфраструктурой, специализирующаяся на системах Microsoft. В настоящее время у них есть ~15 серверов Linux для управления и переключения от RHEL5 и 6, Centos 6, OEL5 и 6 до SLES 10 и 11. Большинство систем географически разделены по разным клиентам / заказчикам.

Несколько требований:

должен работать через WAN за firewall/nat router (агент)
панель управления обновлениями (push-обновления, обновления в черном списке, оповещение о появлении обновлений)
поддержка RHEL5+6+ производных, SLES10+11 и Ubuntu 12.04.

Коммерческие решения, похоже, поддерживают только свои собственные дистрибутивы (RHN Sattelite, SUSE Manager, Landscape)

У меня был небольшой тестовый запуск с куклой и девочкой. Ansible чувствовал себя неплохо, но не работает за nat/firewall из-за его безагентного дизайна. Puppet, казалось, был слишком сложен, чтобы заставить работать управление патчами, и на панели управления нет хорошего обзора.

Всякий раз, когда я пытаюсь выполнить управление исправлениями с системой CM, это не правильно. Такое ощущение, что работаешь не с теми инструментами.

Что вы думаете об опыте управления патчами в Linux? Есть ли какие-либо решения, которые соответствуют моим потребностям?

-1

linux patch-management

Источник

refandante 01 окт '13 в 18:11

2 ответа

Другие вопросы по тегам linux patch-management

John 01 окт '13 в 18:15 2013-10-01 18:15 · Answer 1 · 2013-10-01 18:15

Отказ от ответственности: это кажется очень основанным на мнении вопросом, и ответ, который я собираюсь дать, является главным образом мнением.

КМ - это неправильный инструмент для того, что вас просят предоставить. Из-за несоответствия операционных систем вы, вероятно, не найдете "одного инструмента для управления ими всеми" - вам придется сделать что-то доморощенное, и вместе с этим появятся всевозможные возможные подводные камни, ошибки и snafus. В этой ситуации так много неправильного, что единственный способ подвести итог:

"Потому что Racecar!"

Ethabelle 01 окт '13 в 18:23 2013-10-01 18:23 · Answer 2 · 2013-10-01 18:23

В моей среде я использую Puppet для управления всеми серверами. Тем не менее, я также никогда не использую графический интерфейс и делаю все через командную строку, поэтому я не воспринимаю веб-интерфейс как точку продажи.

При установке My Puppet развертывается сценарий, который автоматически запускает и устанавливает любые обновления безопасности, которые, конечно же, контролируются ежедневным заданием cron. Вы можете сделать это вручную и поместить скрипт (который по сути является чем-то вроде yum -y update -- security) и заставить cron запускать его ежедневно (/etc/cron.daily).

Однако Puppet - это хороший способ централизованно управлять всеми серверами с одного мастера и отправлять любые обновления, которые вы хотите. Применяете ли вы конфигурацию SSHD_CONFIG ко всем серверам или просто хотите запустить новое задание cron. Касаясь 15 серверов вручную? NTHX.

Тем не менее, другой скрипт запускается раз в неделю и позволяет мне узнать, какие обновления доступны для данного сервера. Некоторые пакеты я не хочу просто автоматически обновлять до последней версии по функциональным причинам и т. Д. Однако я всегда хочу убедиться, что применяются исправления безопасности.

Итак, я имею в виду, что в такой маленькой среде Linux, как ваша, это имеет смысл. Puppet бесплатен, и существует множество модулей Puppet, которые уже созданы и доступны в дополнение к большому количеству документации.

Шеф-повар также является альтернативой Puppet, хотя я никогда не использовал его.