Come parte del mio lavoro gestisco alcune decine di server CentOS 5, usando il pupazzo per l'installazione principale. Circa la metà dei nostri server ha una configurazione standardizzata per l'hosting di vari siti di django, mentre il resto è un misto di applicazioni.
Sto gradualmente sistemando le nostre pratiche di hosting e ora sono arrivato al punto di capire come gestire gli aggiornamenti di sicurezza a livello di sistema operativo. Sono diffidente nei confronti di un semplice lavoro cron, yum -y update
ma non voglio nemmeno dover girare ogni server in tempo e rivedere ogni pacchetto con gli aggiornamenti disponibili, poiché ciò richiederebbe un po 'di tempo.
Quindi mi chiedo se ci siano buone scorciatoie o pratiche di lavoro che minimizzino i rischi e minimizzino il tempo che devo dedicare. O per dirla in altro modo, ci sono strumenti o pratiche che possono automatizzare gran parte del lavoro e allo stesso tempo dare il controllo.
Passaggi che ho deciso finora:
- disabilita tutti i repository di terze parti e imposta il nostro repository in modo che io possa controllare quali aggiornamenti passano lì.
- abbiamo server di gestione temporanea per (la maggior parte) dei nostri server di produzione dove potrei fare dei test (ma quanti test sono sufficienti?)
Nota anche che ho esaminato il plug-in di sicurezza yum ma non funziona su CentOS .
Quindi, come gestite gli aggiornamenti per un numero significativo di server CentOS che eseguono un array eterogeneo di applicazioni?