作为我工作的一部分,我管理几十台CentOS 5服务器,使用puppet进行主要设置.我们大约一半的服务器都有一个标准化的设置来托管各种
django站点,而其余的都是混合应用程序.
我正在逐步整理我们的托管实践,现在我已经到了解决如何在操作系统级别管理安全更新的问题.我担心只有一个cron工作做yum -y更新,但也不希望及时绕过每个服务器并查看每个包都有可用的更新,因为这需要一段时间.
因此,我想知道是否有任何良好的捷径或工作实践可以最大限度地降低所涉及的风险并最大限度地减少我需要花费的时间.或者换句话说,是否有任何工具或实践可以在保持控制的同时自动完成大量工作.
到目前为止我已经决定的步骤:
>禁用所有第三方存储库并设置我们自己的存储库,以便我可以控制通过那里进行的更新.
>我们为(大多数)我的生产服务器提供了升级服务器,我可以在那里进行测试(但测试的测试数量是多少?)
另请注意,我已经调查了yum security plugin,但它是does not work on CentOS.
那么如何管理运行异构数组应用程序的大量CentOS服务器的更新?
在我的大多数环境中,它通常是一个kickstart和安装后脚本,以便在当时启动主系统和当前更新.我通常会有一个本地仓库,每天或每周与CentOS镜像同步.我倾向于在安装时的任何时候冻结内核包并单独或根据需要更新包.通常,我的服务器的外围设备都有与内核版本紧密相关的驱动程序,因此这是一个考虑因素.
原文链接:https://www.f2er.com/centos/374030.htmlCentOS 5已经成熟到不需要不断更新的程度.但请记住,CentOS 5正在逐渐减少.更新速度有所放缓,更新的性质更加符合错误修正,而不是主要功能更改.
因此,在这种特定情况下,您可以做的第一件事就是构建一个本地镜像/存储库.使用现有配置管理来控制对第三方存储库的访问.也许安排策略以yum更新关键或面向公众的服务(ssh,http,ftp,dovecot等).其他一切都需要测试,但我感觉大多数环境都不能运行完全更新/修补的系统.
