newjoda
Goto Top

Linux Patchmanagement

Guten Tag,

ich beschäftige mich seit einiger Zeit mit dem Patchmanagement von Linux-Systemen und arbeite derzeit mit Ansible. Derzeit noch in den Kinderschuhen und auch eher zum Aufsetzen von Systemen. Hauptsächlich Ubuntu aktuell.

Allerdings stellt sich mir jetzt die Frage, wie ihr/andere das macht:
40 Linux Server (nur mal als Zahl und Beispiel)
Im besten Fall 1 VM = 1 Dienst. In der Realität ist das nicht so.
Wenn ich jetzt mit Ansible (im Serial Mode) die Systeme aktualisiere, dann habe ich Bedenken, dass danach alles so läuft wie es soll. Ich muss also im besten Fall auf jedes System zugreifen und prüfen, ob alles funktioniert. Da jeder Dienst eigentlich auch einen Verantwortlichen Betreuer hat müsste der also anwesend sein bzw. Verfügbar um zu schauen ob seine Dienste noch laufen und vor allem so laufen wie sie es sollen.

Das Aktualisieren der Systeme liegt aber in meinem Aufgabenbereich. Zumindest das Überwachen ob es kritische Updates gibt und dann handeln. Bestenfalls bevor es Probleme gibt.

Also da hätte ich jetzt Bedenken. Außerdem laufen auf einigen Systemen Docker (Container), bei denen ich mir auch nicht so sicher bin, wie ich da vorgehen soll.

Wie macht ihr das? Wie stellt ihr sicher, dass eure Linux Server aktuell sind?

Es gab zwar einige Beiträge zu diesem Thema allerdings sind diese etwas älter gewesen weswegen ich nicht auf ein Thema antworten wollte welches über 1 Jahr alt ist.

Liebe Grüße

Content-ID: 7428048507

Url: https://administrator.de/contentid/7428048507

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

maretz
maretz 05.06.2023 um 14:36:39 Uhr
Goto Top
Nun - ich mache einfach nen Update und fertig... Wenn es wirklich was kritisches darauf gibt sollte ja eine Doku da sein wo der entsprechende Anbieter der SW dir schon sagt was du machen kannst.

Ansonsten kannst du ja zB. nen Monitoring mitziehen -> sofern die Services das unterstützen. Dann siehst du auch: "Vorher grün, alles gut... beim udpate rot - ok.... danach alles grün: alles gut oder danach immernoch rot: LAUF!)
erikro
erikro 05.06.2023 um 15:13:08 Uhr
Goto Top
Moin,

ich überwache das mit apticron. Das überwacht die Updates und schreibt mir eine Mail, wenn es welche gibt. Dann händisch mit apt-get. Bei 40 Servern ist das natürlich ein wenig Aufwand. Ich habe hier nur zwei. face-wink

hth

Erik
Lochkartenstanzer
Lochkartenstanzer 05.06.2023 um 17:25:04 Uhr
Goto Top
Moin,

"Meine" Linuxserver haben ein debian (das zu dem jeweiligen Installationszeitpunkt unter stable erhältliche) oder Ubuntu LTS drauf und updaten i.d.R. automatisch mit einer Meldung anmich, was sie genau gemacht haben. Zumindest funktioniert das bei den meisten Kunden bisher ohne größere Probleme.

lks
Dani
Dani 05.06.2023 um 22:13:48 Uhr
Goto Top
Moin,
Im besten Fall 1 VM = 1 Dienst. In der Realität ist das nicht so.
bei vielen nicht, bei vielen schon.

40 Linux Server (nur mal als Zahl und Beispiel)
Was machst du bei 40 Windows Servern? Da hast doch die selbe Problematik.

Da jeder Dienst eigentlich auch einen Verantwortlichen Betreuer hat müsste der also anwesend sein bzw. Verfügbar um zu schauen ob seine Dienste noch laufen und vor allem so laufen wie sie es sollen.
Dafür gibt es doch definierte Wartungsfenster. Wobei man hier zwischen Betriebssystem und (3rd) Party Anwendungen unterscheiden muss bzw. Betriebssystem und Docker. Wobei wir Docker ausschließlich in Verbindung mit Kubernetes einsetzen. Daher gestaltet es sich etwas anderes.

Definiere mit den Kollegen jeweils Serientermine (z.B. einmal die Woche, wo du die neue Anwendungen/Container aktualisierst und die Betreuer evtl. Anpassungen noch vornehmen und anschließend Tests durchführen.

Wenn es kritische Systemen sind, gibt es dazu natürlich immer ein Spiegelbild (Test-Server). Sprich zu erst Test-Server dann Produktiv-Server. Die Regel galt und gilt immer noch.

ich beschäftige mich seit einiger Zeit mit dem Patchmanagement von Linux-Systemen und arbeite derzeit mit Ansible.
Da bist du mit Ansible meiner Meinung auf dem richtigen Weg. Damit lassen sich viele, teilweise komplexe Szenarien abdecken. Aber auf Dauer ist auch dafür Zeitaufwand notwendig. Denn auch ein Ansible muss aktualisiert, gepflegt und getestet werden.


Gruß,
Dani
rickstinson
rickstinson 09.06.2023 um 09:57:42 Uhr
Goto Top
ich hänge mich da mal dran, da es für mich auch ein sehr interessantes, offenes Thema ist.

Den bösen Begriff "WSUS" möchte ich jetzt mal außen vor lassen, ABER face-wink sowas in der Art wäre schon sehr praktisch.
Dashboard mit allen Linux Kisten, inkl. Update Status, welche Updates anstehen, welche durchgeführt worden sind, automatische/manuelle Freigaben, etc.

Also OpenSource wäre sowas natürlich fein, aber irgendwie ist das nichts zu finden. Unkritische LInux Server laufen bei uns auf Autopilot bzgl. der Updates, die kritischen werden von Hand gepflegt (zeitraubend).

Ubuntu Landscape (gratis für private, max 5 Rechner) ist halt ordentlich teuer... 500 EUR / Jahr pro Server Hardware (mit unlimitiert vielen VMs) drauf ist halt schon heftig, vor allem wenn man seine VMs auf zig Hypervisoren verteilt betreibt..
maretz
maretz 09.06.2023 um 10:07:33 Uhr
Goto Top
Und wofür? Dafür gibt es ja zB. Ansible. Und wenn du das sauber drin hast - wofür brauchst du denn das Dashboard? Damit es Bunt an der Wand hängt? Du WEISST doch bereits was du damit wo installiert hast (und bei bedarf auch in welcher Version). Wenn du es nicht weisst dann lässt du das Playbook nochmal rennen - und es wird eh nichts neu installieren was dem PB nicht entspricht....

Du könntest dir natürlich auch die Versionen eben von den Systemen holen u. irgendwo abspeichern - damit es fürs Mgmt ne schöne lustige und bunte Grafik gibt... Aber wirklich brauchen? Eigentlich nicht...
rickstinson
rickstinson 09.06.2023 um 11:07:46 Uhr
Goto Top
Ich hätte bitte gerne bunte Graphen, und so eine Anzeige wie bei einem EKG welches dann so flupp flupp Geräusche macht!

Der Vorteil wäre aus meiner Sicht eine auf-einen-blick Übersicht aller Systeme:
- Patchstatus (sind alle Updates installiert, wann genau wurden die letzten Patches installiert, Reboot notwendig?)
- Wartende Updates (auf Freigabe, etc)
- Fehlerübersicht: zB "dpkg error XY bei Package AB"

Das gleiche halt wie bei WSUS mit Gruppen und freigaben wann und wie Updates freigegeben werden.
Als Beispiel: Patch für Paket XY erst nach manueller Freigabe einspielen (weil es zB um ein Paket geht wo es schon mal bröseln nach einem Update gab und man dies erst in der DEV Umgebung testet bevor man das Update im produktivsystem freigibt).

Sowas stell ich mir vor face-smile
Dani
Dani 09.06.2023 um 16:56:36 Uhr
Goto Top
Moin,
Ubuntu Landscape (gratis für private, max 5 Rechner) ist halt ordentlich teuer... 500 EUR / Jahr pro Server Hardware (mit unlimitiert vielen VMs) drauf
Ja gut, Angebot und Nachfrage. Je nachdem wie groß dein Schmerz ist...

ist halt schon heftig, vor allem wenn man seine VMs auf zig Hypervisoren verteilt betreibt..
Dann sollte man mal über Konsolidierung nachdenken...

Ich hätte bitte gerne bunte Graphen, und so eine Anzeige wie bei einem EKG welches dann so flupp flupp Geräusche macht!
ist Ansible Tower was für dich?! Ansonsten eben mit Grafana ein Board nach deinem Bedürfnissen zusammen bauen.


Gruß,
Dani