Dans le cadre de mon travail, je gère quelques dizaines de serveurs CentOS 5, en utilisant des marionnettes pour la configuration principale. Environ la moitié de nos serveurs ont une configuration standardisée pour l'hébergement de divers sites Django, tandis que le reste est un méli-mélo d'applications.
Je trie progressivement nos pratiques d'hébergement, et j'en suis maintenant au point de savoir comment gérer les mises à jour de sécurité au niveau du système d'exploitation. Je me méfie d'avoir juste un travail cron, yum -y update
mais je ne veux pas non plus avoir à parcourir chaque serveur à temps et à examiner chaque package avec les mises à jour disponibles, car cela prendrait un certain temps.
Je me demande donc s'il existe de bons raccourcis ou de bonnes pratiques de travail qui minimiseraient les risques impliqués et minimiseraient le temps que je devrais passer. Ou, pour le dire autrement, existe-t-il des outils ou des pratiques qui peuvent automatiser une grande partie du travail tout en donnant le contrôle.
Étapes que j'ai décidées jusqu'à présent:
- désactiver tous les référentiels tiers et configurer notre propre référentiel afin que je puisse contrôler les mises à jour qui y sont effectuées.
- nous avons des serveurs intermédiaires pour (la plupart) de nos serveurs de production où je pourrais faire des tests (mais combien de tests suffisent-ils?)
Notez également que j'ai examiné le plugin de sécurité yum mais qu'il ne fonctionne pas sur CentOS .
Alors, comment gérez-vous les mises à jour d'un nombre important de serveurs CentOS exécutant une gamme hétérogène d'applications?