生产环境的 linux 主机,各位是怎么统一做补丁管理的呢?用的什么工具或者方法
1
hmxxmh 2019-09-19 15:21:41 +08:00
同问,windows 补丁,微软每月发布新的补丁,怎么同步
|
3
wordsman 2019-09-19 15:24:20 +08:00
windows 的用 WSUS 管理,Linux 的没考虑过
|
4
retanoj 2019-09-19 15:29:20 +08:00 via iPhone
Linux 可以参考阿里云的安骑士:)
麻烦点的就 salt stack 这种兼顾补丁升级。 不过 Linux 一般不轻易升软件吧 |
5
ivmm 2019-09-19 15:31:59 +08:00
Linux 升级补丁 emmmm
难道不是 yum update apt upgrade,方便的不得了么? |
6
Yourshell 2019-09-19 15:37:33 +08:00 via iPhone
docker 直接重新 build,宿主机随便升。
|
8
symb0l OP @ivmm hhhhhha,但是怕有包依赖,例如 nginx 会依赖 openssl,直接 yum update all 升级怕有影响
|
10
xuanzc880 2019-09-19 15:55:15 +08:00
大的发行版好像都有自己的管理平台,例如 Ubuntu 就有一个专门的平台用来管理服务器的.
|
12
lihongjie0209 2019-09-19 17:16:45 +08:00
只做安全更新就可以了, 不会破坏软件兼容性。
yum-cron 默认就只做安全更新 |
14
reus 2019-09-19 19:26:53 +08:00
发行版自带的升级机制,完全没有问题,有问题的是这个怕那个怕的心态。
就像一个病人,医生的话不听,非要找什么偏方秘方。 |
15
gcloud 2019-09-19 19:55:26 +08:00
@symb0l 红帽的 Software Collections 和 Application Stream 可以解决这个问题,不过都是红帽专属的。
|
16
cnbattle 2019-09-19 19:58:06 +08:00 via Android
上 docker
|
17
Firxiao 2019-09-19 23:31:47 +08:00 via iPhone
自建源+saltstack/ansible 执行 upgrade. 可以返回 json. 有能力的话可以二开.
如果你习惯用 puppet,或者有能力维护比较重的应用. 可以试试 forman. https://www.theforeman.org/ 还有红帽的 satellite 的开源版 https://spacewalkproject.github.io/ |
18
Firxiao 2019-09-19 23:36:54 +08:00 via iPhone
FYI. 写过一个 salt 版的. 感兴趣的可以看下
https://github.com/Firxiao/patching-tools |
19
james122333 2019-09-20 03:55:03 +08:00
首先你要确定你需要的是安全性补丁还是功能性补丁
多数公司没用到功能性补丁 用到的多数都十分牛逼 或许你想要往牛逼的路迈进 但多数人看到会觉得是在装逼 |
20
james122333 2019-09-20 03:56:47 +08:00
基本上你实现完了 恭喜你可以弄一种新的包管理了
|
21
noqwerty 2019-09-20 05:24:46 +08:00
Ubuntu 上可以用 unattended-upgrades
|
24
xfabs 2019-09-20 07:40:37 +08:00 via iPhone
等保测评的人说这种生产环境的补丁升级需要先在测试环境先试一下……
|
25
ech0x 2019-09-20 07:48:33 +08:00
安全补丁还是功能补丁
安全补丁是内核补丁还是库的补丁 库的补丁的话是静态编译的还是动态编译的还是包管理器管理的 这些问题决定了打补丁方式的区别 |
26
MonoLogueChi 2019-09-20 08:26:37 +08:00 via Android
@reus 生产环境不敢随便升级,你应该没经历过升级依赖后程序不能运行的痛吧
|
29
symb0l OP @james122333 基本都是修复安全性补丁,就是制定周期性补丁修复计划,功能性补丁没有出现问题一般都不会动,金融公司很求稳的= =
|
30
ladypxy 2019-09-20 09:17:21 +08:00
linux 打补丁就是很痛苦,各种包依赖包冲突,非常之烦。。。
|
31
symb0l OP @ech0x 大佬,安全补丁为多,包管理器管理的= =就是想问下大家,对于补丁管理这一块都是用的什么方法或者工具,借鉴下大佬的做法,比较生产环境,补丁这东西听前辈说不好搞= =
|
33
ladypxy 2019-09-20 09:43:19 +08:00
@symb0l 一般来说是用 puppet 配合 yum version lock 来打补丁。同时公司内部部署 RH 的 satellites server (类似于 wsus )控制哪些补丁会向下分发。什么你用的 centos ?那当我没说
|
34
reus 2019-09-20 14:30:19 +08:00
@MonoLogueChi 你升生产环境之前难道不会在测试环境升级一下跑一下吗?
|