Zarządzam kilkoma serwerami Linux dla klientów pełniących różne role, takie jak poczta e-mail, buforowanie, serwowanie stron internetowych, filtrowanie, zapora ogniowa / routing itd.
Ponieważ nie posiadam tych komputerów i zapewniam tylko zdalne wsparcie, systemy centralnego zarządzania, takie jak Puppet, nie wydają się być właściwym narzędziem. (Popraw mnie, jeśli uważasz, że mylę się co do tego założenia)
Jakie narzędzia polecasz do śledzenia zmian plików konfiguracyjnych, instalacji pakietów i tak dalej?
Myślę, że coś takiego jak etckeeper może być blisko tego, czego potrzebuję, ale chcę wiedzieć, czy jest coś lepszego.
Aktualizacja
Będziemy mieć kopie zapasowe systemów i nie spodziewałbym się, że tego typu narzędzie będzie alternatywą dla kopii zapasowej. Chodzi o śledzenie zmian w konfiguracji i posiadanie systemu, który będzie wiedział, co się zmieniło, kiedy, przez kogo i miejmy nadzieję, dlaczego.
źródło
Odpowiedzi:
Mam etckeeper na mojej osobistej stacji roboczej, ale nie musiałem z tym jeszcze wiele robić (poza śledzeniem wszystkich moich zmian). Wygląda na to, że rozsądnie się upewnia, że przynajmniej wiesz, co zostało zrobione.
Nie odpuściłbym Puppet jako rozwiązania - o ile niektóre usługi na maszynie są twoim obowiązkiem do utrzymania, to system, który upewni się, że jeśli ktoś zmieni twoją konfigurację, to zostanie przywrócony tak, jak chcesz. jest darem niebios.
Z drugiej strony, jeśli inni regularnie wprowadzają zmiany (i zwykle tego nie psują), być może będziesz musiał po prostu śledzić, co zrobili inni ludzie w celu późniejszego przywrócenia systemu po awarii. Nie zapominaj, że wszystko będzie zmieniane w każdym miejscu, więc narzędzie do sprawdzania pełnej maszyny może być lepsze. Być może zastanowiłbym się nawet nad stworzeniem na nim przyrostowej kopii zapasowej całego dysku (np. Rdiff-backup lub coś takiego), aby mieć pewność, że śledzisz wszystko (może upuszczasz / home i inne obszary na poziomie użytkownika poza kopią zapasową, jeśli tylko chcesz do śledzenia zmian administracyjnych).
źródło
Możesz spojrzeć na Tripwire lub AIDE
Oba będą śledzić zmiany plików konfiguracyjnych na twoich komputerach.
źródło
Spojrzałem na etckeepera, ale go nie użyłem. Jednak użyłem Changetrack . Używam go na wszystkich moich komputerach domowych od wielu lat, a podczas mojej poprzedniej pracy była to część naszej standardowej instalacji serwera. Używaliśmy go tam przez ostatnie pięć lat i zainstalowaliśmy go na około 200 pudełkach.
Konfiguracja jest trywialna (stworzyłem dla niej RPM przy moim ostatnim zadaniu), a konfiguracja jest naprawdę prosta. Zasadniczo konfiguruję go do monitorowania wszystkich plików / etc /.
źródło
Do śledzenia zmian pakietów (instalacji, aktualizacji itp.) W systemach opartych na RPM, o ile wszystkie zmiany są wprowadzane przy pomocy
yum
lubyumex
, każda zmiana pakietu jest zalogowana/var/log/yum.log
.Inne osoby już odpowiedziały na śledzenie zmian w
/etc
. Nie zapominaj, że chcesz również śledzić zmiany konfiguracji,bind
których częściowo dotyczy/var
(przynajmniej w wielu dystrybucjach Linuksa) i że strony internetowe znajdują się w/var/www
wielu dystrybucjach Linuksa. Będą katalogi na zewnątrz,/etc
które zawierają ważne informacje o konfiguracji.W zależności od sposobu zarządzania, możesz również chcieć śledzić
/usr/local/etc
i inne drzewa katalogów (/opt
niektóre drzewa poniżej/var
i wszystko inne, co jest specyficzne dla Twoich klientów).źródło
Na początek warto przyjrzeć się Blueprint , który analizuje konfigurację systemu. Chociaż ma na celu tworzenie konfiguracji dla Puppet lub Chef, nie ma powodu, dla którego nie mógłbyś użyć go tylko do raportowania.
źródło
Prostym skryptem do monitorowania plików jest filemon. Używam go na moim domowym komputerze, a w połączeniu z crontab robi to proste i łatwe zadanie. W celu uzyskania bardziej złożonego rozwiązania kontroli integralności (zmiany plików, zainstalowane nowe pakiety i wiele innych) używam OSSEC na kilku serwerach.
źródło
Możesz umieścić / etc pod dvcs, takimi jak git. Zobowiązujesz się za każdym razem, gdy wprowadzasz zmiany, a potem możesz po prostu git diff za każdym razem, gdy zaczynasz pracę i wyświetlasz wszystkie zmiany.
źródło
LBackup obsługuje rejestrowanie usuwania, modyfikacji i dodawania plików.
źródło