WSUS für Linux

Gibt bei Ubuntu Landscape

Hängt sicher davon ab, was so auf den Servern läuft, aber ich mache Updates überall (habe Debian only) mit unattended-upgrades. Dort wo es kritischer ist, eben nur die Sicherheitsupgrades und dann in einem regelmäßigen Schwung halt die übrigen Pakete.

Ich finde, die Betreuung eines WSUS o.ä. ist im Gegensatz dazu der größere Aufwand.

Viele Grüße, commodity

Vermutlich meint er genau das….

howtoforge.de/anleitung/wie-man-einen-lokalen-debianubuntu-spieg ...
wiki.ubuntuusers.de/apt-mirror/

Gruß
TA

Hallo

reddit.com/r/sysadmin/comments/11zdx31/wsus_alternative_solution ...

Ubuntu hat es teils schon dabei. Im thread ein paar Anregungen.

Proxy cached auch binary. Ipcop etc konnten das auch.

Aber dann wird nur binary aus cache genommen. Man muss also online gehen oder es sonst wie triggern.

uyuni-project.org/

Scheint kostenlos und wird auch bei reddit erwähnt.

Du liest dort auch von Ubuntu, Red Hat, Cent OS...

Hast du einen Mix oder eine Distri?

Dann könnte es auch mit Bordmitteln gehen.

Mfg Crusher

evtl könnte auch Apt-Cacher-ng was sein für euch.
Da brauchst du dann kein Mirror machen sondern nur ein Server worüber die Rechner dann quasi als Proxy die nötigen Updates drüber laden.
Dabei wird jede Angeforderte Datei auch Lokal gespeichert und der nächste der die brauch wird aus dem lokalen Speicher genommen und nicht erneut aus dem Internet geladen.

Das kann doch jeder Standard Proxy cachen. Es lässt sich auch sicherlich einstellen, dass er den Cache erst nach langer Zeit verwirft, z.B., wenn es neue Versionen gibt.

+1 für Proxy Cache statt Mirror. So braucht man weniger Speicher

Noch ein Nachtrag:
Das ist IMO eine gefährliche Praxis. Ein Server ist ja nicht primär deshalb gefährdet, weil er mit dem Internet "verbunden" ist. Er ist vielmehr gefährdet, wenn er nicht aktuell gehalten wird - und er wird ja von intern erreicht, ist mittelbar also ohnehin mit dem Internet verbunden. Ergo: Ein Angriff, der über einen (meist viel exponierteren) Client erfolgt ist bei einem nicht gewarteten Server deutlich erfolgversprechender.

"Gefährlich" ist das Internet vor allem dann, wenn man über den Server Dienste dorthin frei gibt. Selbst wenn man sich da nicht sicher ist (was man eigentlich sein sollte), ist das egal, denn man regelt Freigaben aus dem Internet ja ohnehin über die Firewall (oder hat meinetwegen eine Fritzbox). Dann wird von dort schon nichts "reingelassen" - außer man erlaubt es explizit.
Die verbleibende Gefahr, dass ein Schädling, der auf den Server gelangt, bei direkter Anbindung aus dem Internet etwas nachladen könnte, ist im Verhältnis zum Betrieb eines ungepatchten Servers zu vernachlässigen. Wenn zudem nicht mit den Root/Sudo-Rechten geschludert wird, ist es eh sehr unwahrscheinlich, dass sich auf einem aktuellen Linux-Server ein Schädling einnistet und ausgeführt wird.

Bessere Router können im Übrigen auch Traffic nur für bestimmte Zeiträume frei schalten. Wenn man zu der Zeit die Updates automatisiert, kann man (wenn man unbedingt mag) die Trennung auch für die übrige Zeit faktisch aufrecht erhalten. Ich halte das aber für den Normalbetrieb für überzogen.

Viele Grüße, commodity

Ich würde es eher vom Anwendungsfall anhängig machen. Wenn man nur "wenige" Systeme hat, die man nur aktuell halten will, ist der proxa-cache das Mittel der Wahl. Wenn man aber of "neue" System baut, z.B. mit ansible oder puppet automatisiert oder eine sehr große Anzahl von Systemen aktuell halten muß, ist ggf. ein lokaler Mirrot besser. Insbesondere kann man damit z.B. auch eine bestimmten Softwarestand "festtackern", wenn man z.B. zertifizierte Systeme in genau definierter Konfiguration braucht. (sicherheitsrelevante Bereiche, Medizinbereich, etc.). Oder schlicht und einfach neue Software-Releases nur nach evaluation freigeben will. Also wier imme abhängig von der Anwendungs. Im Fall des TO dürfte aber der proxy-cache das Mittel der Wahl sein, es sei denn, er will wie bei WSUS den Zeitpunkt selbst bestimmen, wann die Updates für die Systeme freigegeben werden sollen.

lks