我们有一些Debian服务器需要打补丁,手动打补丁成为一个问题,随着他们的人数增长。 我所看到的是将补丁从中央位置推送到服务器的方式,并且对其进行了一些报告。我相信,在不购买第三方工具的情况下,相对简单的方法就可以实现。 木偶出现在我的脑海里,但也许还有其他的想法可以更好地达到这个目的?
木偶是伟大的,但并没有真正处理这个问题。
什么应该工作(我已经完成了理论,但没有推出)使用cron-apt结合debmashalpipe理的存储库来批准cron-apt将部署的补丁。
Debmarshal已经不在谷歌了,而且还有一个技术讲座:
我们正在利用木偶来推出大部分安全更新。 我们只用它来推出我们不关心的软件包。 例如,我们不使用它来升级MySQL,因为我们需要安排停机时间,并且应该手动完成。 另一方面,我们有像Mutt这样的升级,可以升级而不用担心。 我们通过创build一个将包名称作为名称和版本参数的定义来完成此操作。 我们没有使用本地“包”types来实现,因为可能与其他清单发生冲突,无法升级已安装的包。 木偶无论如何都会安装这个软件包。
我们目前遇到的这个解决scheme的问题是我们有三种不同的分布来跟踪(Jaunty,Hardy和Dapper),并且随着apticron的输出保持文件更新是有点费时的,但是希望这些问题能够相当容易地解决,或者至less大大减less,用一些脚本来自动直接从电子邮件创build清单文件。 这是下一步。 如果这个工作,那么我会推荐它作为一个有效的方法。 如果没有,那么这可能太多了。
我不确定你有多less个Debian服务器,所以很难说这个服务器是否可以适当的扩展,但是我们使用SSHD和基于密钥的authentication,ClusterSSH和cron-apt。 为我们的二十多台Debian机器启动ClusterSSH并执行aptitude update && aptitude upgrade (或者其他需要的apt命令)很简单。 由于cron-apt被设置为自动下载,但不能安装合适的.deb文件,只需要查看哪些补丁可用,决定要安装哪些补丁,然后将所需的aptitude命令发送到所有主机一举升级它们。