V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
symb0l
V2EX  ›  Linux

Linux 补丁管理问题

  •  
  •   symb0l · 2019-09-19 15:14:57 +08:00 · 5462 次点击
    这是一个创建于 1896 天前的主题,其中的信息可能已经有所发展或是发生改变。

    生产环境的 linux 主机,各位是怎么统一做补丁管理的呢?用的什么工具或者方法

    34 条回复    2019-09-20 14:30:19 +08:00
    hmxxmh
        1
    hmxxmh  
       2019-09-19 15:21:41 +08:00
    同问,windows 补丁,微软每月发布新的补丁,怎么同步
    retanoj
        2
    retanoj  
       2019-09-19 15:24:00 +08:00 via iPhone
    @hmxxmh
    Windows 有 wsus 啊,Windows 主机用域管理,补丁下放用 wsus
    wordsman
        3
    wordsman  
       2019-09-19 15:24:20 +08:00
    windows 的用 WSUS 管理,Linux 的没考虑过
    retanoj
        4
    retanoj  
       2019-09-19 15:29:20 +08:00 via iPhone
    Linux 可以参考阿里云的安骑士:)
    麻烦点的就 salt stack 这种兼顾补丁升级。
    不过 Linux 一般不轻易升软件吧
    ivmm
        5
    ivmm  
       2019-09-19 15:31:59 +08:00
    Linux 升级补丁 emmmm

    难道不是 yum update apt upgrade,方便的不得了么?
    Yourshell
        6
    Yourshell  
       2019-09-19 15:37:33 +08:00 via iPhone
    docker 直接重新 build,宿主机随便升。
    symb0l
        7
    symb0l  
    OP
       2019-09-19 15:47:52 +08:00
    @retanoj 怎么参考阿里云的安骑士?= =没有上公有云
    symb0l
        8
    symb0l  
    OP
       2019-09-19 15:48:42 +08:00
    @ivmm hhhhhha,但是怕有包依赖,例如 nginx 会依赖 openssl,直接 yum update all 升级怕有影响
    symb0l
        9
    symb0l  
    OP
       2019-09-19 15:48:56 +08:00
    @Yourshell 传统 VM 怎么搞...
    xuanzc880
        10
    xuanzc880  
       2019-09-19 15:55:15 +08:00
    大的发行版好像都有自己的管理平台,例如 Ubuntu 就有一个专门的平台用来管理服务器的.
    hmxxmh
        11
    hmxxmh  
       2019-09-19 17:14:20 +08:00
    @retanoj 好滴,我了解下
    lihongjie0209
        12
    lihongjie0209  
       2019-09-19 17:16:45 +08:00
    只做安全更新就可以了, 不会破坏软件兼容性。

    yum-cron 默认就只做安全更新
    reus
        13
    reus  
       2019-09-19 19:25:14 +08:00
    @symb0l 这也怕那也怕,干脆别升级了,官方打包你信不过,难道自己打补丁自己编译就能更好?
    reus
        14
    reus  
       2019-09-19 19:26:53 +08:00
    发行版自带的升级机制,完全没有问题,有问题的是这个怕那个怕的心态。

    就像一个病人,医生的话不听,非要找什么偏方秘方。
    gcloud
        15
    gcloud  
       2019-09-19 19:55:26 +08:00
    @symb0l 红帽的 Software Collections 和 Application Stream 可以解决这个问题,不过都是红帽专属的。
    cnbattle
        16
    cnbattle  
       2019-09-19 19:58:06 +08:00 via Android
    上 docker
    Firxiao
        17
    Firxiao  
       2019-09-19 23:31:47 +08:00 via iPhone
    自建源+saltstack/ansible 执行 upgrade. 可以返回 json. 有能力的话可以二开.
    如果你习惯用 puppet,或者有能力维护比较重的应用.
    可以试试 forman. https://www.theforeman.org/
    还有红帽的 satellite 的开源版 https://spacewalkproject.github.io/
    Firxiao
        18
    Firxiao  
       2019-09-19 23:36:54 +08:00 via iPhone
    FYI. 写过一个 salt 版的. 感兴趣的可以看下
    https://github.com/Firxiao/patching-tools
    james122333
        19
    james122333  
       2019-09-20 03:55:03 +08:00
    首先你要确定你需要的是安全性补丁还是功能性补丁
    多数公司没用到功能性补丁 用到的多数都十分牛逼
    或许你想要往牛逼的路迈进 但多数人看到会觉得是在装逼
    james122333
        20
    james122333  
       2019-09-20 03:56:47 +08:00
    基本上你实现完了 恭喜你可以弄一种新的包管理了
    noqwerty
        21
    noqwerty  
       2019-09-20 05:24:46 +08:00
    Ubuntu 上可以用 unattended-upgrades
    msg7086
        22
    msg7086  
       2019-09-20 05:40:55 +08:00
    @symb0l #8
    nginx 依赖 openssl 所以才要用包管理呀。
    包管理就是解决你说的这个问题的。
    vibbow
        23
    vibbow  
       2019-09-20 05:48:33 +08:00
    @hmxxmh Windows 用 WSUS 或者 WAC
    xfabs
        24
    xfabs  
       2019-09-20 07:40:37 +08:00 via iPhone
    等保测评的人说这种生产环境的补丁升级需要先在测试环境先试一下……
    ech0x
        25
    ech0x  
       2019-09-20 07:48:33 +08:00
    安全补丁还是功能补丁
    安全补丁是内核补丁还是库的补丁
    库的补丁的话是静态编译的还是动态编译的还是包管理器管理的
    这些问题决定了打补丁方式的区别
    MonoLogueChi
        26
    MonoLogueChi  
       2019-09-20 08:26:37 +08:00 via Android
    @reus 生产环境不敢随便升级,你应该没经历过升级依赖后程序不能运行的痛吧
    symb0l
        27
    symb0l  
    OP
       2019-09-20 09:14:31 +08:00
    @gcloud 好的,我了解下,3Q
    symb0l
        28
    symb0l  
    OP
       2019-09-20 09:14:56 +08:00
    @Firxiao 感谢大佬~
    symb0l
        29
    symb0l  
    OP
       2019-09-20 09:16:10 +08:00
    @james122333 基本都是修复安全性补丁,就是制定周期性补丁修复计划,功能性补丁没有出现问题一般都不会动,金融公司很求稳的= =
    ladypxy
        30
    ladypxy  
       2019-09-20 09:17:21 +08:00
    linux 打补丁就是很痛苦,各种包依赖包冲突,非常之烦。。。
    symb0l
        31
    symb0l  
    OP
       2019-09-20 09:18:28 +08:00
    @ech0x 大佬,安全补丁为多,包管理器管理的= =就是想问下大家,对于补丁管理这一块都是用的什么方法或者工具,借鉴下大佬的做法,比较生产环境,补丁这东西听前辈说不好搞= =
    symb0l
        32
    symb0l  
    OP
       2019-09-20 09:20:15 +08:00
    @ladypxy 所以才开贴问下大佬们,肯定有解决方案的,折不折腾而已=。=
    ladypxy
        33
    ladypxy  
       2019-09-20 09:43:19 +08:00
    @symb0l 一般来说是用 puppet 配合 yum version lock 来打补丁。同时公司内部部署 RH 的 satellites server (类似于 wsus )控制哪些补丁会向下分发。什么你用的 centos ?那当我没说
    reus
        34
    reus  
       2019-09-20 14:30:19 +08:00
    @MonoLogueChi 你升生产环境之前难道不会在测试环境升级一下跑一下吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3111 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 13:31 · PVG 21:31 · LAX 05:31 · JFK 08:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.