Назад | Перейти на главную страницу

Бесплатное централизованное управление исправлениями для Debian

У нас есть ряд серверов Debian, которые необходимо исправить, и ручное исправление становится проблемой по мере роста их числа. Я ищу способ отправить исправления на серверы из центрального местоположения и получить какой-то отчет о том, как это происходит. Я считаю, что должен быть относительно простой способ сделать это, не покупая сторонние инструменты. Мне приходит в голову Puppet, но, может быть, есть другие идеи, которые лучше подходят для этой цели?

Puppet - это здорово, но с этой проблемой не справляется.

Что должно сработать (я изучил теорию, но не выкатил ее), так это использование cron-apt в сочетании с репозиториями, управляемыми debmashal, для утверждения патчей, которые затем будет развертывать cron-apt.

Дебмаршал отсутствует в Google, и по нему доступен технический доклад:

http://code.google.com/p/debmarshal/

http://www.youtube.com/watch?v=L3hRToC23mQ

Мы пробуем использовать марионетку для развертывания большинства обновлений безопасности. Мы используем его только для развертывания пакетов, которые нам не нужны. Мы не используем его, например, для обновления MySQL, потому что нам нужно будет организовать простои и сделать это вручную. С другой стороны, у нас есть обновления, такие как Mutt, которые можно просто обновить без особого беспокойства. Мы сделали это, создав определение, которое принимает имя пакета в качестве имени и параметра версии. Мы не реализовали это, используя собственный тип «пакет», потому что могут быть конфликты с другими манифестами и нет возможности обновить только установленные пакеты. Puppet установит пакет в любом случае.

Наши текущие проблемы с этим решением заключаются в том, что у нас есть три разных дистрибутива, которые нужно отслеживать (Jaunty, Hardy и Dapper), и поддержание файла в актуальном состоянии с помощью вывода apticron занимает немного времени, но, надеюсь, обе эти проблемы могут быть довольно легко решены или, по крайней мере, значительно сокращены, с помощью некоторых сценариев для автоматического создания файлов манифеста прямо из электронных писем. Это следующий шаг. Если это сработает, я бы порекомендовал это как действующий метод. Если нет, то, возможно, это слишком много работы.

Я не уверен, сколько у вас серверов Debian, поэтому трудно сказать, будет ли это масштабироваться соответствующим образом для вас, но мы делаем это, используя SSHD с аутентификацией на основе ключей, ClusterSSH и cron-apt. Достаточно просто запустить ClusterSSH для наших двух десятков машин Debian и выполнить aptitude update && aptitude upgrade (или любая другая команда apt). Поскольку cron-apt настроен на автоматическую загрузку, но не на установку соответствующих файлов .deb, нужно просто проверить, какие исправления доступны, решить, какие из них мы хотим установить, а затем отправить желаемые команды aptitude всем хосты их модернизировать одним махом.