vFense – Patch Management Betatest

Wenn man Server zum Beispiel mit CFEngine automatisiert ausrollt und managed, muss man sich auch immer die Frage stellen, ob Betriebssystemupdates manuell oder auch automatisiert ausgerollt werden sollten. Denn selbst mit Continuous Integration muss man eigentlich für jedes Paket zuvor prüfen, ob das Update eine Auswirkung auf folgende Punkte hat:

  • Ist das Update tatsächlich relevant für die Produktion?
  • Wird durch ein Update der Neustart eines Dienstes notwendig?
  • Hat das Update auswirkungen auf andere Systeme?
  • Wie wirkt sich das Rollout auf die Hochverfügbarkeit aus (Stichwort: „Cache Stampede„)

Diese Informationen kann man immer wieder mühselig von Hand zusammentragen, oder aber man verwendet eine Softwarebasierte Lösung, die einem bei der Entscheidungsfindung hilft, und auf Wunsch Änderungen – auch an Teilen der Systemarchitektur – vornimmt. Wenn man Ubuntu nutzt, war das bisher immer Landscape. Dieses Tool bietet alles, was das Patch Management des Ubuntu Administrators höher schlagen lässt. Dennoch bin ich bisher immer davor zurückgeschreckt. Und zwar jedes Mal, wenn ich den Preis gesehen habe. Landscape ist Teil des Ubuntu Advantage Programms. Für einen Desktop bezahlt man hier jährlich mindestens $105. Die Preise für eine Serverlizenz starten bei $320. Fairerweise muss man sagen, dass im Advantage Paket noch wesentlich mehr Leistungen enthalten sind als nur das Patch Management. Wenn man jedoch nur dieses benötigt erscheint der Preis allerdings viel zu hoch.

Vor kurzem bin ich über ein interessantes Projekt gestolpert, was einen ähnlichen Ansatz verfolgt und darüberhinaus weitere Linuxdistributionen, Windows und Macs zusätzlich verwaltet. Das Projekt nennt sich vFense und befindet sich aktuell noch in der Beta Phase. Das WebGUI sieht wirklich vielversprechend aus und kumuliert Daten aus der CVE Datenbank mit den einzelnen Updates. So sieht man auf den ersten Blick, welche kritischen Updates gerade Aufmerksamkeit benötigen und wieviele Server betroffen sind. Weiterhin werden die Informationen zur entsprechenden Sicherheitslücke angezeigt und ermöglichen so eine rasche Einschätzung der Relevanz des Updates.

Auch schön ist die Trennung in verschiedene „Customer“, so kann man die Produktivmaschinen sauber von Testing- und Stagingmaschinen trennen. Den Servern können einzelne Tags zugeordnet werden, was die Gruppierung deutlich vereinfacht. Als kleines Goodie werden auch Hardwareinformationen der Maschine zusammengetragen. So sieht man die Festplatten-, RAM- und CPU-Konfiguration, sowie viele weitere Informationen.

Wenn man sich in der Beta traut, kann man entsprechende Updates für die gewünschten Maschinen auswählen und ausführen lassen oder für ein Wartungsfenster in einen Scheduler eintragen. In der Übersicht lassen sich die einzelnen abgearbeiteten Tasks, sowie der Status der Operationen einsehen. Dies ist nützlich, da es im Rahmen des Change Managements auch gleich die notwendige Dokumentation erstellt, welche Systeme wann upgedatet wurden.

Alles in allem hat das Tool Potential das Patch Management zu übernehmen, da es auch selbst gebaute Pakete ausrollen kann. In Zusammenarbeit mit einem Konfigurationsmanagement, wie CFEngine kann man es nutzen, um Betriebssystem Updates zu festen Zeitpunkten, oder einfach in der Testingumgebung auszurollen und Änderungen im Rahmen des Change Management zu dokumentieren. Leider ist das Tool noch etwas schwer zu installieren, und nicht alle Funktionen sind ausgereift, aber es ist schon jetzt recht brauchbar.

Kommentar verfassen