¿Cómo aborda la gestión de parches centralizada para Linux?

8

Estoy ejecutando un entorno Linux pequeño (pero en crecimiento) que consta de no más de 10 servidores Linux.

El entorno consta de CentOS 5 y 6 y Oracle Linux 5 y 6 boxen. Todos estos son parcheados individualmente a través de sus repositorios yum apropiados.

¿Alguien puede sugerir un método para centralizar la administración de parches para estos servidores? He oído que Puppet se usa a menudo para hacer esto, pero nunca lo he usado yo mismo, y me interesaría saber de otros administradores de sistemas.

linux caja izquierda
fuente

Respuestas:

7

La mayoría de las herramientas de Configuration Management son realmente buenas en esto. Puppet y Chef son dos de los más populares, y Radmind es el que uso.
La documentación de la herramienta específica le dará una idea de cómo implementar la administración de parches; varía de una herramienta a otra.

Otras opciones incluyen un repositorio centralizado yum / apt / whatever y scripts locales para extraer parches de él a intervalos programados (o bajo demanda), y también hay soluciones comerciales de algunos de los principales proveedores, algunos de los cuales (como el satélite RHN de RedHat ) son bastante excelente si pasas el tiempo aprendiendo cómo funcionan y realmente aprovechas sus capacidades.

Un elemento que nadie ha señalado todavía que creo que los osos señalan es la homogenia : en la medida de lo posible, haga que sus servidores sean intercambiables con el mismo software. Esto simplifica enormemente la administración de parches (los mismos parches tienen que ir a todas partes) y en mi humilde opinión, la vida es mucho más fácil a medida que crece su entorno.

voretaq7
fuente
Puppet y Chef se ven complejos pero interesantes, y les voy a dar un vistazo. Marcaré su respuesta como mi respuesta aceptada, ya que a) es compatible con los clientes y se especifica en mi pregunta OOTB yb) parece la más completa.
izquierdo
Puppet y Chef son bastante complejos, pero lo que necesita saber para comenzar es bastante bajo en la curva de aprendizaje. Cuando entres en cosas realmente complicadas, te alegrarás de tener un lenguaje de programación completo dentro de tu sistema CM.
voretaq7
6

Recomendaría algo en la línea de Spacewalk . Básicamente es la versión gratuita del software Red Hat's Satellite.

Eric
fuente
1
Específicamente "el proyecto comunitario ascendente del cual se deriva el producto Red Hat Network Satellite".
Wesley
Spacewalk se ve increíble, pero parece un poco PITA trabajar con Oracle Linux forums.oracle.com/forums/thread.jspa?threadID=2262193
leftcase
Lamentablemente, nunca he usado Spacewalk con Oracle Linux. Principalmente lo usamos en una tienda de Fedora / CentOS, por lo que no sería de mucha ayuda en esa área. Sin embargo, supondría que un producto tan popular tendría suficientes seguidores que ha encontrado un método viable para usarlo.
Eric
4

Como estás mirando Linux, revisa un próximo proyecto de Redhat: Pulp .

La pulpa es una solución más moderna al problema, que se dirige específicamente a la gestión de paquetes y parches, auditoría, etc. Esto es algo que los títeres / chef pueden hacer solos con cierto esfuerzo. Pulp solo hace paquetes y Yum, y deja la gestión de configuración a puppet / chef, que es como debería ser. Tiene una API de descanso para scripts, etc.

No soy fanático de Spacewalk / Satellite, pero YMMV.

Ahora no
fuente
Pulp parece interesante, pero también se ve bastante nuevo y no me resulta inmediatamente evidente cómo sería posible configurar a los clientes de Oracle Linux cómo usarlo.
leftcase
Pulp parece interesante, me pregunto qué tan bien será compatible con los BSD (en este momento, todas las cosas de administración de parches que veo están fuertemente ligadas a los administradores de paquetes, por lo que los tipos como yo, que make worldsolíamos hacer nuestros parches, todavía están atrapados con algo como radmind para distribuir el cambios ...)
voretaq7
@leftcase All pulp does es instalar un agente que puede agregar / modificar archivos de configuración de yum. Lo he usado en CentOS y RHEL, y estoy seguro de que Oracle Linux funcionará igual. Además, el agente informa las actividades a un servidor central y sondea el servidor para ejecutar los comandos relacionados con el paquete.
No ahora
3

Sí, utilizamos Puppet para un gran parche de clúster y gestión administrativa. Otra alternativa para conjuntos pequeños es crear un repositorio local de yum e implementar cambios con un paquete RPM personalizado.

Chakri
fuente