Linux 补丁管理问题

同问，windows 补丁，微软每月发布新的补丁，怎么同步

@hmxxmh
Windows 有 wsus 啊，Windows 主机用域管理，补丁下放用 wsus

windows 的用 WSUS 管理，Linux 的没考虑过

Linux 可以参考阿里云的安骑士：）
麻烦点的就 salt stack 这种兼顾补丁升级。
不过 Linux 一般不轻易升软件吧

Linux 升级补丁 emmmm

难道不是 yum update apt upgrade，方便的不得了么？

docker 直接重新 build，宿主机随便升。

@retanoj 怎么参考阿里云的安骑士？= =没有上公有云

@ivmm hhhhhha，但是怕有包依赖，例如 nginx 会依赖 openssl，直接 yum update all 升级怕有影响

@Yourshell 传统 VM 怎么搞...

大的发行版好像都有自己的管理平台,例如 Ubuntu 就有一个专门的平台用来管理服务器的.

@retanoj 好滴，我了解下

只做安全更新就可以了， 不会破坏软件兼容性。

yum-cron 默认就只做安全更新

@symb0l 这也怕那也怕，干脆别升级了，官方打包你信不过，难道自己打补丁自己编译就能更好？

发行版自带的升级机制，完全没有问题，有问题的是这个怕那个怕的心态。

就像一个病人，医生的话不听，非要找什么偏方秘方。

@symb0l 红帽的 Software Collections 和 Application Stream 可以解决这个问题，不过都是红帽专属的。

上 docker

自建源+saltstack/ansible 执行 upgrade. 可以返回 json. 有能力的话可以二开.
如果你习惯用 puppet，或者有能力维护比较重的应用.
可以试试 forman. https://www.theforeman.org/
还有红帽的 satellite 的开源版 https://spacewalkproject.github.io/

FYI. 写过一个 salt 版的. 感兴趣的可以看下
https://github.com/Firxiao/patching-tools

首先你要确定你需要的是安全性补丁还是功能性补丁
多数公司没用到功能性补丁 用到的多数都十分牛逼
或许你想要往牛逼的路迈进 但多数人看到会觉得是在装逼

基本上你实现完了 恭喜你可以弄一种新的包管理了

Ubuntu 上可以用 unattended-upgrades

@symb0l #8
nginx 依赖 openssl 所以才要用包管理呀。
包管理就是解决你说的这个问题的。

@hmxxmh Windows 用 WSUS 或者 WAC

等保测评的人说这种生产环境的补丁升级需要先在测试环境先试一下……

安全补丁还是功能补丁
安全补丁是内核补丁还是库的补丁
库的补丁的话是静态编译的还是动态编译的还是包管理器管理的
这些问题决定了打补丁方式的区别

@reus 生产环境不敢随便升级，你应该没经历过升级依赖后程序不能运行的痛吧

@gcloud 好的，我了解下，3Q

@Firxiao 感谢大佬~

@james122333 基本都是修复安全性补丁，就是制定周期性补丁修复计划，功能性补丁没有出现问题一般都不会动，金融公司很求稳的= =

linux 打补丁就是很痛苦，各种包依赖包冲突，非常之烦。。。

@ech0x 大佬，安全补丁为多，包管理器管理的= =就是想问下大家，对于补丁管理这一块都是用的什么方法或者工具，借鉴下大佬的做法，比较生产环境，补丁这东西听前辈说不好搞= =

@ladypxy 所以才开贴问下大佬们，肯定有解决方案的，折不折腾而已=。=

@symb0l 一般来说是用 puppet 配合 yum version lock 来打补丁。同时公司内部部署 RH 的 satellites server （类似于 wsus ）控制哪些补丁会向下分发。什么你用的 centos ？那当我没说

@MonoLogueChi 你升生产环境之前难道不会在测试环境升级一下跑一下吗？