首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

Linux 补丁管理问题

  •  
  •   symb0l · 81 天前 · 2152 次点击
    这是一个创建于 81 天前的主题,其中的信息可能已经有所发展或是发生改变。

    生产环境的 linux 主机,各位是怎么统一做补丁管理的呢?用的什么工具或者方法

    34 回复  |  直到 2019-09-20 14:30:19 +08:00
        1
    hmxxmh   81 天前
    同问,windows 补丁,微软每月发布新的补丁,怎么同步
        2
    retanoj   81 天前 via iPhone
    @hmxxmh
    Windows 有 wsus 啊,Windows 主机用域管理,补丁下放用 wsus
        3
    wordsman   81 天前
    windows 的用 WSUS 管理,Linux 的没考虑过
        4
    retanoj   81 天前 via iPhone
    Linux 可以参考阿里云的安骑士:)
    麻烦点的就 salt stack 这种兼顾补丁升级。
    不过 Linux 一般不轻易升软件吧
        5
    ivmm   81 天前
    Linux 升级补丁 emmmm

    难道不是 yum update apt upgrade,方便的不得了么?
        6
    Yourshell   81 天前 via iPhone
    docker 直接重新 build,宿主机随便升。
        7
    symb0l   81 天前
    @retanoj 怎么参考阿里云的安骑士?= =没有上公有云
        8
    symb0l   81 天前
    @ivmm hhhhhha,但是怕有包依赖,例如 nginx 会依赖 openssl,直接 yum update all 升级怕有影响
        9
    symb0l   81 天前
    @Yourshell 传统 VM 怎么搞...
        10
    xuanzc880   81 天前
    大的发行版好像都有自己的管理平台,例如 Ubuntu 就有一个专门的平台用来管理服务器的.
        11
    hmxxmh   81 天前
    @retanoj 好滴,我了解下
        12
    lihongjie0209   81 天前
    只做安全更新就可以了, 不会破坏软件兼容性。

    yum-cron 默认就只做安全更新
        13
    reus   81 天前
    @symb0l 这也怕那也怕,干脆别升级了,官方打包你信不过,难道自己打补丁自己编译就能更好?
        14
    reus   81 天前
    发行版自带的升级机制,完全没有问题,有问题的是这个怕那个怕的心态。

    就像一个病人,医生的话不听,非要找什么偏方秘方。
        15
    gcloud   81 天前
    @symb0l 红帽的 Software Collections 和 Application Stream 可以解决这个问题,不过都是红帽专属的。
        16
    cnbattle   81 天前 via Android
    上 docker
        17
    Firxiao   81 天前 via iPhone
    自建源+saltstack/ansible 执行 upgrade. 可以返回 json. 有能力的话可以二开.
    如果你习惯用 puppet,或者有能力维护比较重的应用.
    可以试试 forman. https://www.theforeman.org/
    还有红帽的 satellite 的开源版 https://spacewalkproject.github.io/
        18
    Firxiao   81 天前 via iPhone
    FYI. 写过一个 salt 版的. 感兴趣的可以看下
    https://github.com/Firxiao/patching-tools
        19
    james122333   81 天前
    首先你要确定你需要的是安全性补丁还是功能性补丁
    多数公司没用到功能性补丁 用到的多数都十分牛逼
    或许你想要往牛逼的路迈进 但多数人看到会觉得是在装逼
        20
    james122333   81 天前
    基本上你实现完了 恭喜你可以弄一种新的包管理了
        21
    noqwerty   81 天前
    Ubuntu 上可以用 unattended-upgrades
        22
    msg7086   81 天前
    @symb0l #8
    nginx 依赖 openssl 所以才要用包管理呀。
    包管理就是解决你说的这个问题的。
        23
    vibbow   81 天前
    @hmxxmh Windows 用 WSUS 或者 WAC
        24
    xfabs   81 天前 via iPhone
    等保测评的人说这种生产环境的补丁升级需要先在测试环境先试一下……
        25
    ech0x   81 天前
    安全补丁还是功能补丁
    安全补丁是内核补丁还是库的补丁
    库的补丁的话是静态编译的还是动态编译的还是包管理器管理的
    这些问题决定了打补丁方式的区别
        26
    MonoLogueChi   80 天前 via Android
    @reus 生产环境不敢随便升级,你应该没经历过升级依赖后程序不能运行的痛吧
        27
    symb0l   80 天前
    @gcloud 好的,我了解下,3Q
        28
    symb0l   80 天前
    @Firxiao 感谢大佬~
        29
    symb0l   80 天前
    @james122333 基本都是修复安全性补丁,就是制定周期性补丁修复计划,功能性补丁没有出现问题一般都不会动,金融公司很求稳的= =
        30
    ladypxy   80 天前
    linux 打补丁就是很痛苦,各种包依赖包冲突,非常之烦。。。
        31
    symb0l   80 天前
    @ech0x 大佬,安全补丁为多,包管理器管理的= =就是想问下大家,对于补丁管理这一块都是用的什么方法或者工具,借鉴下大佬的做法,比较生产环境,补丁这东西听前辈说不好搞= =
        32
    symb0l   80 天前
    @ladypxy 所以才开贴问下大佬们,肯定有解决方案的,折不折腾而已=。=
        33
    ladypxy   80 天前
    @symb0l 一般来说是用 puppet 配合 yum version lock 来打补丁。同时公司内部部署 RH 的 satellites server (类似于 wsus )控制哪些补丁会向下分发。什么你用的 centos ?那当我没说
        34
    reus   80 天前
    @MonoLogueChi 你升生产环境之前难道不会在测试环境升级一下跑一下吗?
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1980 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 28ms · UTC 00:20 · PVG 08:20 · LAX 16:20 · JFK 19:20
    ♥ Do have faith in what you're doing.