Quel outil recommandez-vous pour suivre les modifications sur un serveur Linux / Unix?

38

Je gère plusieurs serveurs Linux pour des clients dans plusieurs rôles, tels que courrier électronique, mise en cache, service Web, filtrage, pare-feu / routage, etc.

Comme je ne possède pas ces ordinateurs et que je ne fournis que du support à distance, les systèmes de gestion centralisés tels que Puppet ne semblent pas être le bon outil. (S'il vous plaît, corrigez-moi si vous pensez que je me trompe à propos de cette hypothèse.)

Quels outils recommandez-vous pour suivre les modifications des fichiers de configuration, les installations de packages, etc.?

Je pense que quelque chose comme etckeeper peut être proche de ce dont j'ai besoin, mais je veux savoir s'il y a quelque chose de mieux.

Mise à jour

Nous aurons des sauvegardes des systèmes, et je ne pense pas que ce type d’outil soit une alternative à la sauvegarde. Il s’agit de suivre les changements de configuration et d’avoir un système pour savoir ce qui a changé quand, par qui et pourquoi, espérons-le.

linux configuration-management Zoredache
la source
Voir aussi serverfault.com/questions/5410/…
Zoredache
voter pour etckeeper. Je n'en ai pas entendu parler jusqu'à maintenant.
icasimpan

Réponses:

14

Etckeeper est installé sur mon poste de travail personnel, mais je n’ai pas encore beaucoup à faire avec lui (à part le faire suivre toutes mes modifications). On dirait que c'est un travail raisonnable de s'assurer que vous sachiez au moins ce qui a été manipulé.

Je ne considérerais pas Puppet comme une solution - tant que certains des services de la machine sont de votre responsabilité de maintenir, alors un système qui assure que si quelqu'un modifie votre configuration, elle est remise à votre convenance. est une aubaine.

D'un autre côté, si d'autres personnes effectuent des modifications régulièrement (et qu'elles ne le font généralement pas foirer), vous devrez peut-être simplement effectuer un suivi de ce que d'autres personnes ont fait pour la récupération ultérieure. N'oubliez pas que les choses vont changer d'un endroit à l'autre. Un outil de contrôle complet de la machine pourrait donc être préférable. Je pourrais peut-être même envisager de faire une sauvegarde incrémentielle complète sur disque (telle que rdiff-backup ou quelque chose du genre) pour être sûr de tout suivre (peut-être supprimer / maison et d'autres zones de niveau utilisateur hors de la sauvegarde, si vous voulez juste suivre les changements administratifs).

femme
la source
6

Vous voudrez peut-être consulter Tripwire ou AIDE

Les deux suivront les changements de fichier de configuration sur vos machines.

Mark Turner
la source
Tripwire et AIDE sont de très bons outils, mais ils sont tous les deux très lourds comparés à changetrack ou etckeeper. Si vous avez besoin d'une vérification de l'intégrité complète et de fonctionnalités IDS basées sur l'hôte, c'est un bon choix. Mais si vous souhaitez simplement surveiller les modifications apportées par d'autres administrateurs, je ne les recommanderais pas.
Christopher Cashell
1
Je suis d’accord avec votre évaluation s’il ne s’agissait que de Tripwire .. mais AIDE est extrêmement facile à utiliser pour suivre uniquement les modifications apportées au système de fichiers.
Mark Turner
Cela fait longtemps que je n'ai pas joué avec AIDE ou Tripwire, mais quand je cherchais quelque chose pour surveiller les changements de configuration (j'y suis finalement allé avec Changetrack), mon jeu avec AIDE suggérait qu'il était difficile voire impossible de l'envoyer simplement en diff des fichiers modifiés au cours de la dernière heure, envoyez toutes les heures (par exemple). Cela, en plus de stocker les modifications dans une sorte de système de contrôle de révision était tout ce dont j'avais besoin, et AIDE semblait lourd pour cela. C'était il y a quelques années, donc les choses ont peut-être changé.
Christopher Cashell
4

J'ai regardé etckeeper, mais je ne l'ai pas utilisé. Cependant, j'ai utilisé Changetrack . Je l'utilise sur toutes mes machines domestiques depuis de nombreuses années et, dans mon travail précédent, cela faisait partie de notre installation de serveur standard. Nous l'utilisions là depuis cinq ans et l'avions installé sur environ 200 boîtes.

La configuration est simple (j’ai créé un RPM lors de mon dernier travail) et la configuration est très simple. Je le configure généralement pour surveiller tout / etc /.

Christopher Cashell
la source
1
alors pourquoi n’avez-vous pas chargé le compte-tours dans le projet changetrack :)
gbjbaanb Le
1
En fait, j'avais prévu de faire cela. Cependant, j'ai fini par quitter mon dernier emploi avant de pouvoir le télécharger et je n'y ai plus accès. Cependant, je vais contacter certains de mes anciens collègues de travail pour voir s'ils peuvent le faire.
Christopher Cashell
4

Pour suivre les modifications de package (installations, mises à niveau, etc.) sur des systèmes basés sur RPM, tant que toutes les modifications sont effectuées avec yumou yumex, chaque modification de package est connectée /var/log/yum.log.

D'autres personnes ont déjà répondu au suivi des modifications dans /etc. N'oubliez pas que vous souhaitez également suivre les modifications de configuration bindpartiellement intégrées /var(du moins sur de nombreuses distributions Linux) et que les pages Web ne sont pas compatibles /var/wwwavec de nombreuses distributions Linux. Il y aura des répertoires extérieurs /etccontenant des informations de configuration importantes.

Selon la façon dont les choses sont gérées, vous pouvez également vouloir suivre /usr/local/etcet d’autres arborescences de répertoires ( /opt, certaines arborescences en dessous /varet tout autre élément spécifique à vos clients).

Eddie
la source
3

Pour commencer, vous voudrez peut-être examiner Blueprint , qui analyse une configuration système. Bien qu'il soit conçu pour créer des configurations pour Puppet ou Chef, rien n'empêche de l'utiliser uniquement pour la création de rapports.

geekosaur
la source
2

Un script de surveillance de fichiers simple est filemon .Je l' utiliser sur mon PC à la maison, et combiné avec crontab il fait un simple et facile. Pour une solution plus complexe de vérification de l’intégrité (modifications de fichiers, nouveaux packages installés et bien d’autres), j’utilise OSSEC sur plusieurs serveurs.

Dan
la source
2

Vous pouvez placer / etc sous un dvc tel que git. Vous vous engagez à chaque fois que vous apportez des modifications, puis vous pouvez simplement git diff dès que vous commencez un travail et que toutes les modifications sont affichées.

baudtack
la source
1
Bonne idée, c’est exactement ce que fait etckeeper. Il supporte git, mercurial ou bazar. Il se connecte à votre système de gestion de paquets pour suivre les changements liés aux ajouts / mises à jour de paquets.
Zoredache
Voici un article sur la configuration d’un système similaire dans Arch Linux ARM, qui devrait s’appliquer également ici. zduck.com/2012/storing-your-raspberry-pi-config-in-git
silent__thought Le
0

LBackup prend en charge la journalisation de la suppression, de la modification et de l’ajout de fichiers.


la source