TL; DR: Как сделать так, чтобы список обновлений пакетов можно было воспроизводить на многих серверах, даже если новые обновления безопасности доступны до завершения кампании исправлений?
В компании, имеющей нормативные ограничения, обновления безопасности серверов должны выполняться воспроизводимым способом: определяется список критических CVE, что приводит к списку пакетов для обновления до определенной версии. Эти обновления необходимо применять на многих серверах, от разработки до подготовки и производства.
Применение этих обновлений может занять много времени, и, даже если между ними доступны более новые обновления безопасности, важно убедиться, что одно и то же изменение вносится на всех серверах.
Я предполагаю указать версию с чем-то вроде yum update package-version
не будет работать, потому что более новые пакеты заменяют старые в репозиториях CentOS (по крайней мере, для обновлений безопасности). Поэтому мы не всегда можем применять одни и те же версии.
Команда разработчиков хочет использовать Landesk и внедрила копию репозиториев CentOS в локальной сети (используется каждым сервером вместо обычных репозиториев CentOS), на которой они планируют делать какие-то «снимки» пакетов с определенной отметкой времени. репозитории (например, repo_xxx_20191019). Чтобы применить обновления безопасности, они планируют обновить конфигурацию репозитория каждого целевого сервера, чтобы добавить репозитории с метками времени и таким образом обновить пакеты.
Я полагаю, это сработает, но есть ли какие-нибудь предостережения? Или более простые способы добиться того же результата?
Систематически и быстро.
Ваши процедуры установки исправлений требуют возможности очень быстро применять обновления для наиболее критических угроз. Вероятно, в худшем случае ближе к часам, чем к дням. Злоумышленники не будут ждать ваших документов, вы можете подать заявление об аварийном изменении постфактум.
Скажем, вы обычно делаете ежемесячные обновления. Тестовые системы на 1 неделе, этапы на 2 неделе, производство на неделе 4. Пакет обновлений, устанавливаемый каждый месяц, четко определен в локальных репозиториях, и это хорошо работает.
На 2 неделе выходит критическое обновление. Оценка по CVSS 10, системы взламываются в дикой природе. Очень плохо. Это должно быть исправлено как можно скорее и не может ждать.
Теперь нужно сделать выбор. Создайте небольшой специальный пакет и установите его повсюду или добавьте в ожидающее обновление и ускорите его внедрение.
Подготовить репозиторий обновлений можно двумя способами. Что действительно важно, так это то, что вы устанавливаете и измеряете показатели того, как долго ваши хосты не исправляются. И пусть процесс будет действовать быстро, если это необходимо.