Linux Patch Managment Software

[LukasKämmerling]

Guten Tag,

ich betreibe aktuell 30 Debiansysteme (Virtuelle Maschinen auf diversen ESXi Hosts). Ich möchte nun das Patch Managment stark vereinfachen und suche aktuell nach geeigneter günstiger Software. Habe bereits chef.io,puppet und diverse andere gefunden, mich mit diesen allerdings nicht zurecht gefunden oder sie entsprachen nicht meinen Anforderungen oder sie waren einfach zu teuer.

Meine Anforderungen sind relativ einfach:

- E-Mail Benachrichtigung bei neuem Patch

- Vollautomatisches Backup des System vor & nach Patch

- Auswahl der vor Patch abzuschaltenden Dienste (ebenso automatisierter Start nach Patch)

- Auswahl der zur Installation verfügbaren Patches

- Patchlevel sollte auf allen Maschinen gleich sein, allerdings sollte es auch die Möglichkeit geben manche Maschinen vor anderen zu Patchen (Check ob nach Patch alles funktioniert)

Hoffe es kennt jemand ein solches Tool. Mein Preislimit beträgt beim Kauf einmalig 200€ und beim Mieten maximal 30€ pro Monat.

Mit freundlichen Grüßen

Lukas K.

[feuerjinn]

Hallo Lukas,

ich kann dir folgende Liste empfehlen.

https://github.com/kahun/awesome-sysadmin#configuration-management

Generell sind Puppet oder Chef, die Tools die du suchst. Du kannst allerdings deine Ansprüche nicht immer auf Tools abwälzen. Vielleicht kannst du einen Teil davon mit einem Tool erledigen.

Darf ich Fragen, was das für Systeme sind? Vielleicht macht ein Container-System bei dir mehr Sinn.

[LukasKämmerling]

Hallo feuerjinn,

nun es sind eigentlich nur einige ESXi (Free) Hosts mit entsprechenden Virtuellen Maschinen drauf. Die VMs sind allesamt Debian 7.8 und dienen als Cluster Nodes (einige als MySQL Node andere wiederum als HTTP Node) quasi ein vollständiges HA Cluster mit HAProxy und dem MySQL Community Cluster. Aktuell sind 4 der Hosts bei OVH und je einer bei Hosteurope und Hetzner. (wobei dies glaube ich hier nichts zur Sache tut).

[lilith2k3]

Ich glaube, YADT - an Augmented Deployment Tool ist so ein Tool, was Du suchst. Allerdings ist es AFAIK rund um RPMs geschrieben. Inwieweit man .DEB-Repositories verwalten kann, weiß ich leider nicht.

Einzige Alternative, die in etwa das abbildet, was Du vorhast: Betreibe ein lokales Repo für Deine Pakete.

Du kannst entsprechend Wrapper-Pakete bauen, deren Abhängigkeiten das eigentliche Paket sind und die selbst für Ein- und ausschalten von Diensten sorgen (sofern die ursprünglichen Pakete das noch nicht tun).

Durch ein lokales Repo kannst Du sicherstellen, dass alle Maschinen den gleichen (von Dir definierten) Stand haben. Und wenn Updates erfolgen, dann gezielt aus Deinem Repo.

Vollautomatisches Backup des System vor & nach Patch

Wozu sollte das gut sein? Daten sollten unabhängig davon gesichert sein. Der Stand der Maschinen sollte einfach nur reproduzierbar sein (Provisionierung mit chef, puppet, $ToolDeinerWahl).

[pierewoehl]

Ich würde ein Script dafür schreiben und dann im Netzwerk freigeben und in einen ordner von anacron schieben wie /etc/cron.daily

#!/bin/bash

echo "Meldung" | mail -s "Test Subject" user@example.com

rsnapshot / lvm snapshot # je nachdem was du hast bzw. dein Backup tool

services * stop # Je nach dem ob du andere Service abhängigkeiten als Default hast

apt-get update -y # Dienste werden automatisch ausgeschaltet wenn sie gepatcht werden

rsnapshot / lvm snapshot # je nachdem was du hast bzw. dein Backup tool

Bearbeitet 28. April 2015 von pierewoehl

[LukasKämmerling]

Erstmal danke Ihr beiden. Ich denke eine Kombination aus euren beiden Lösungen ist genau das richtige. Ich muss mir dann nur mal angucken wie ich ein privates Repo erstelle. Vielen lieben Dank!

[pierewoehl]

Ich muss mir dann nur mal angucken wie ich ein privates Repo erstelle.

https://www.thomas-krenn.com/de/wiki/Eigenes_apt-Repository_mit_reprepro_unter_Ubuntu_erstellen