Re: [FRnOG] [TECH] patch management serveurs Linux
pour la gestion des repo debian, https://www.aptly.info/ c'est pas mal du tout. (possibilité de gérer des snapshots, version, merge,.. et pour la détection des failles, on utilise https://vuls.io/ ca marche vraiment vraiment bien, cross distro, super rapide. (et y'a moyen de balancer les resultats dans un elasticsearch) - Mail original - De: "SECOND Fabien" À: "frnog-tech" Envoyé: Vendredi 18 Septembre 2020 12:53:03 Objet: [FRnOG] [TECH] patch management serveurs Linux Bonjour à tous, Je voulais savoir si vous avez des retours d'expérience sur des solutions de gestion des patchs pour différentes distributions Linux. L'idée c'est de déployer des patchs de secu sur une ferme de serveurs hétérogène : Debian, Centos, RedHat ... Je pense déjà à mettre en place Ansible pour la gestion des confs mais je voudrais avoir une gestion assez fine pour les patchs de secu. Merci d'avance pour vos retours Fabien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] patch management serveurs Linux
Le 18/09/20 à 14:07, Guillaume Tournat via frnog a écrit : > Bonjour > > Pour ma part, j’utilise unattended-upgrades sur Debian. C’est nickel. Ça > check une fois par > jour les miroirs, ça patche tout seul, et si c’est kernel, ça reboot tout > seul. J'avais utilisé un moment qq chose du genre (apt-cron je crois), mais y'a régulièrement des services qui redémarrent pas après application du patch [1], y'a intérêt à avoir un bon monitoring et des gens pour réparer derrière. Par ailleurs, hors de question de laisser un robot restart certains services tout seul (du mysql master par ex, je bascule le master ailleurs avant la màj pour ne pas couper le service), et encore moins un reboot. Désormais j'utilise apticron qui surveille les mises à jour et envoie un rapport si y'en a. Ensuite un script pour lancer manuellement les màj partout quand je l'ai décidé. [1] Je donnerais pas de noms mais y'a des mainteneurs qui estiment qu'on a pas à changer les droits des fichiers de conf de leur appli, ou le user sous lequel elle tourne, c'est prévu pour tourner par ex sous www-data et si on fait autrement l'upgrade plante le service. J'ai aussi eu des surprises avec dbconfig lorsque la db n'est pas en localhost (apt upgrade qui reset les params de connexion à la db, forcément après ça marche moins bien…). -- Daniel Au reste, si l'éducation de la jeunesse est négligée, ne nous en prenons qu'à nous-mêmes et au peu de considération que nous témoignons à ceux qui s'en chargent. d'Alembert --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] patch management serveurs Linux
Bonjour Pour ma part, j’utilise unattended-upgrades sur Debian. C’est nickel. Ça check une fois par jour les miroirs, ça patche tout seul, et si c’est kernel, ça reboot tout seul. Simple et efficace. > Le 18 sept. 2020 à 12:54, SECOND Fabien a écrit : > > Bonjour à tous, > > Je voulais savoir si vous avez des retours d'expérience sur des solutions de > gestion des patchs pour différentes distributions Linux. > L'idée c'est de déployer des patchs de secu sur une ferme de serveurs > hétérogène : Debian, Centos, RedHat ... > > Je pense déjà à mettre en place Ansible pour la gestion des confs mais je > voudrais avoir une gestion assez fine pour les patchs de secu. > > Merci d'avance pour vos retours > > Fabien > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] patch management serveurs Linux
(Cross-post sur FRsAG, du coup). Hello, Katello / Satellite / Landscape c'est plus de la gestion de confs que du patch management IMHO. Aptly permet de gérer des dépôts APT mais c'est tout. Pas de remontée de l'état des machines, de gestion des CVE, de dashboards... J'ai regardé l'année dernière et n'ai rien trouvé en open-source ou au moins "on-premise" qui supporte Debian. Si en plus tu veux mixer les distributions ça va être compliqué. J'avais pensé dev un petit truc mais pas trop le temps. Récemment je suis tombé sur Patchman, pas testé : https://github.com/furlongm/patchman. Le ven. 18 sept. 2020 à 13:24, Jean-Yves LENHOF a écrit : > > Le 18/09/2020 à 12:53, SECOND Fabien a écrit : > > Bonjour à tous, > > > > Je voulais savoir si vous avez des retours d'expérience sur des solutions > > de gestion des patchs pour différentes distributions Linux. > > L'idée c'est de déployer des patchs de secu sur une ferme de serveurs > > hétérogène : Debian, Centos, RedHat ... > > > > Je pense déjà à mettre en place Ansible pour la gestion des confs mais je > > voudrais avoir une gestion assez fine pour les patchs de secu. > > > > Merci d'avance pour vos retours > > > > Fabien > > Hello, > > C'est plus une question pour Frsag ça normalement ;-) > > Pour RedHat/Centos tu utilises la solution upstream Katello ou sinon un > serveur Satellite chez RH > > Pour Debian, pas vraiment aussi complet, mais je regarderais au niveau > https://www.aptly.info/ > > Pour Ubuntu : https://landscape.canonical.com/index.html > > Sinon il existe des solutions commerciales : > > https://www.comparitech.com/net-admin/best-linux-patch-management-tools/ > > > Il faudra suivant les solutions utiliser en plus de l'Ansible/Puppet > whatever pour gérer tout ça avec un peu d'huile de coude > > > Cordialement, > > > JYL > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Jonathan Leroy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] patch management serveurs Linux
Le 18/09/2020 à 12:53, SECOND Fabien a écrit : Bonjour à tous, Je voulais savoir si vous avez des retours d'expérience sur des solutions de gestion des patchs pour différentes distributions Linux. L'idée c'est de déployer des patchs de secu sur une ferme de serveurs hétérogène : Debian, Centos, RedHat ... Je pense déjà à mettre en place Ansible pour la gestion des confs mais je voudrais avoir une gestion assez fine pour les patchs de secu. Merci d'avance pour vos retours Fabien Hello, C'est plus une question pour Frsag ça normalement ;-) Pour RedHat/Centos tu utilises la solution upstream Katello ou sinon un serveur Satellite chez RH Pour Debian, pas vraiment aussi complet, mais je regarderais au niveau https://www.aptly.info/ Pour Ubuntu : https://landscape.canonical.com/index.html Sinon il existe des solutions commerciales : https://www.comparitech.com/net-admin/best-linux-patch-management-tools/ Il faudra suivant les solutions utiliser en plus de l'Ansible/Puppet whatever pour gérer tout ça avec un peu d'huile de coude Cordialement, JYL --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] patch management serveurs Linux
Bonjour à tous, Je voulais savoir si vous avez des retours d'expérience sur des solutions de gestion des patchs pour différentes distributions Linux. L'idée c'est de déployer des patchs de secu sur une ferme de serveurs hétérogène : Debian, Centos, RedHat ... Je pense déjà à mettre en place Ansible pour la gestion des confs mais je voudrais avoir une gestion assez fine pour les patchs de secu. Merci d'avance pour vos retours Fabien --- Liste de diffusion du FRnOG http://www.frnog.org/