Nós temos um número de servidores Debian que precisam ser corrigidos e o patch manual se torna um problema à medida que o número deles cresce. O que eu estou procurando é uma maneira de enviar os patches para os servidores a partir da localização central e ter algum tipo de relatório sobre como isso funciona. Acredito que deve haver uma maneira relativamente fácil de fazer isso sem comprar ferramentas de terceiros. Fantoche vem à minha mente, mas talvez existam outras ideias que possam servir melhor a esse propósito?
O fantoche é ótimo, mas não resolve esse problema.
O que deve funcionar (eu fiz a teoria, mas não a desenvolvi) está usando o cron-apt em combinação com repositórios gerenciados pelo debmashal para aprovar os patches que o cron-apt irá então implementar.
Debmarshal está fora do google e há uma palestra sobre tecnologia disponível:
Estamos testando o uso de fantoches para lançar a maioria das atualizações de segurança. Nós só usamos isso para distribuir pacotes que não nos importamos. Nós não o usamos, por exemplo, para atualizar o MySQL, porque precisaríamos organizar o tempo de inatividade, e devemos fazer isso manualmente. Por outro lado, temos atualizações como Mutt, que podem ser atualizadas sem muita preocupação. Fizemos isso criando uma definição que leva o nome do pacote como o nome e um parâmetro de versão. Nós não implementamos isso usando o tipo "pacote" nativo, porque pode haver conflitos com outros manifestos e não há como atualizar apenas os pacotes que estão instalados. O Puppet instalaria o pacote independentemente.
Nossos problemas atuais com esta solução é que temos três distribuições diferentes para rastrear (Jaunty, Hardy e Dapper) e manter o arquivo atualizado com a saída do apticron é um pouco demorado, mas esperamos que ambos os problemas possam ser facilmente resolvido, ou pelo menos bastante reduzido, com alguns scripts para criar automaticamente os arquivos de manifesto diretamente dos e-mails. Esse é o próximo passo. Se isso funcionar, recomendo-o como um método válido. Se isso não acontecer, talvez seja muito trabalho.
Não tenho certeza de quantos servidores Debian você tem, por isso é difícil dizer se isso seria adequado para você, mas fazemos isso usando SSHD com autenticação baseada em chave, ClusterSSH e cron-apt. É simples o suficiente para iniciar o ClusterSSH para nossas duas dúzias de máquinas Debian e executar um aptitude update && aptitude upgrade (ou qualquer comando apt necessário). Como o cron-apt está configurado para baixar automaticamente, mas não para instalar os arquivos .deb apropriados, é apenas uma questão de revisar quais correções estão disponíveis, decidir quais queremos instalar e, em seguida, enviar os comandos aptitude desejados para todos os arquivos. hosts para atualizá-los de uma só vez.
Tags apt debian patch-management