Linux 补丁管理问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 1892 天前的主题，其中的信息可能已经有所发展或是发生改变。

生产环境的 linux 主机，各位是怎么统一做补丁管理的呢？用的什么工具或者方法

Linux

补丁

管理

主机

34 条回复 • 2019-09-20 14:30:19 +08:00

hmxxmh

2019-09-19 15:21:41 +08:00

同问，windows 补丁，微软每月发布新的补丁，怎么同步

retanoj

2019-09-19 15:24:00 +08:00 via iPhone

@hmxxmh
Windows 有 wsus 啊，Windows 主机用域管理，补丁下放用 wsus

wordsman

2019-09-19 15:24:20 +08:00

windows 的用 WSUS 管理，Linux 的没考虑过

retanoj

2019-09-19 15:29:20 +08:00 via iPhone

Linux 可以参考阿里云的安骑士：）
麻烦点的就 salt stack 这种兼顾补丁升级。
不过 Linux 一般不轻易升软件吧

ivmm

2019-09-19 15:31:59 +08:00

Linux 升级补丁 emmmm

难道不是 yum update apt upgrade，方便的不得了么？

Yourshell

2019-09-19 15:37:33 +08:00 via iPhone

docker 直接重新 build，宿主机随便升。

symb0l

2019-09-19 15:47:52 +08:00

@retanoj 怎么参考阿里云的安骑士？= =没有上公有云

symb0l

2019-09-19 15:48:42 +08:00

@ivmm hhhhhha，但是怕有包依赖，例如 nginx 会依赖 openssl，直接 yum update all 升级怕有影响

symb0l

2019-09-19 15:48:56 +08:00

@Yourshell 传统 VM 怎么搞...

xuanzc880

2019-09-19 15:55:15 +08:00

大的发行版好像都有自己的管理平台,例如 Ubuntu 就有一个专门的平台用来管理服务器的.

hmxxmh

2019-09-19 17:14:20 +08:00

@retanoj 好滴，我了解下

lihongjie0209

2019-09-19 17:16:45 +08:00

只做安全更新就可以了，不会破坏软件兼容性。

yum-cron 默认就只做安全更新

reus

2019-09-19 19:25:14 +08:00

@symb0l 这也怕那也怕，干脆别升级了，官方打包你信不过，难道自己打补丁自己编译就能更好？

reus

2019-09-19 19:26:53 +08:00

发行版自带的升级机制，完全没有问题，有问题的是这个怕那个怕的心态。

就像一个病人，医生的话不听，非要找什么偏方秘方。

gcloud

2019-09-19 19:55:26 +08:00

@symb0l 红帽的 Software Collections 和 Application Stream 可以解决这个问题，不过都是红帽专属的。

cnbattle

2019-09-19 19:58:06 +08:00 via Android

上 docker

Firxiao

2019-09-19 23:31:47 +08:00 via iPhone

自建源+saltstack/ansible 执行 upgrade. 可以返回 json. 有能力的话可以二开.
如果你习惯用 puppet，或者有能力维护比较重的应用.
可以试试 forman. https://www.theforeman.org/
还有红帽的 satellite 的开源版 https://spacewalkproject.github.io/

Firxiao

2019-09-19 23:36:54 +08:00 via iPhone

FYI. 写过一个 salt 版的. 感兴趣的可以看下
https://github.com/Firxiao/patching-tools

james122333

2019-09-20 03:55:03 +08:00

首先你要确定你需要的是安全性补丁还是功能性补丁
多数公司没用到功能性补丁用到的多数都十分牛逼
或许你想要往牛逼的路迈进但多数人看到会觉得是在装逼

james122333

2019-09-20 03:56:47 +08:00

基本上你实现完了恭喜你可以弄一种新的包管理了

noqwerty

2019-09-20 05:24:46 +08:00

Ubuntu 上可以用 unattended-upgrades

msg7086

2019-09-20 05:40:55 +08:00

@symb0l #8
nginx 依赖 openssl 所以才要用包管理呀。
包管理就是解决你说的这个问题的。

vibbow

2019-09-20 05:48:33 +08:00

@hmxxmh Windows 用 WSUS 或者 WAC

xfabs

2019-09-20 07:40:37 +08:00 via iPhone

等保测评的人说这种生产环境的补丁升级需要先在测试环境先试一下……

ech0x

2019-09-20 07:48:33 +08:00

安全补丁还是功能补丁
安全补丁是内核补丁还是库的补丁
库的补丁的话是静态编译的还是动态编译的还是包管理器管理的
这些问题决定了打补丁方式的区别

MonoLogueChi

2019-09-20 08:26:37 +08:00 via Android

@reus 生产环境不敢随便升级，你应该没经历过升级依赖后程序不能运行的痛吧

symb0l

2019-09-20 09:14:31 +08:00

@gcloud 好的，我了解下，3Q

symb0l

2019-09-20 09:14:56 +08:00

@Firxiao 感谢大佬~

symb0l

2019-09-20 09:16:10 +08:00

@james122333 基本都是修复安全性补丁，就是制定周期性补丁修复计划，功能性补丁没有出现问题一般都不会动，金融公司很求稳的= =

ladypxy

2019-09-20 09:17:21 +08:00

linux 打补丁就是很痛苦，各种包依赖包冲突，非常之烦。。。

symb0l

2019-09-20 09:18:28 +08:00

@ech0x 大佬，安全补丁为多，包管理器管理的= =就是想问下大家，对于补丁管理这一块都是用的什么方法或者工具，借鉴下大佬的做法，比较生产环境，补丁这东西听前辈说不好搞= =

symb0l

2019-09-20 09:20:15 +08:00

@ladypxy 所以才开贴问下大佬们，肯定有解决方案的，折不折腾而已=。=

ladypxy

2019-09-20 09:43:19 +08:00

@symb0l 一般来说是用 puppet 配合 yum version lock 来打补丁。同时公司内部部署 RH 的 satellites server （类似于 wsus ）控制哪些补丁会向下分发。什么你用的 centos ？那当我没说

reus

2019-09-20 14:30:19 +08:00

@MonoLogueChi 你升生产环境之前难道不会在测试环境升级一下跑一下吗？