WSUS su linux?

[Maruz79]

Eccomi di nuovo qua a rompere le scatole sugli aggiornamenti x linux...
Lo scenario che vogliamo creare è il seguente:

Abbiamo una macchina (windows) qua in azienda che funge da repository di patch e upgrades per S.O. windows, S.O. linux, software di terze parti e software di nostra produzione. A questa macchina sono collegati dei server (sempre windows) dei nostri clienti, che periodicamente scaricano tutti gli aggiornamenti che gli servono, non solo per la macchina collegata al nostro server, ma per tutta la rete interna del cliente.
A questo punto tali server devono distribuire gli aggiornamenti a tutte le macchine della rete del cliente... Per le macchine windows scartabellando un po' siamo riusciti a trovare come utilizzare API e riuscire a scimmiottare il meccanismo di wsus... praticamente il bullet che compare vicino all'orologio quando ci sono aggiornamenti di windows... ecco notificherà alla stessa maniera anche aggiornamenti di (per esempio) office, sqlserver, photoshop, acrobat reader, autocad e software di nostra produzione.... Utilizzando le stesse API che il sistema operativo usa, riusicamo a riciclare buona parte del processo: trasmissione del pacchetto sul client, controllo di quali pacchetti vanno o non vanno sulla macchina client (abbiamo diverse tipologie di macchine client ciascuna con una lista di programmi differente), transazionalità del processo, report dell'operazione (con formato nostro).
Tutto questo solo per client windows, abbiamo però un buon numero di client linux sulla rete del cliente e dobbiamo essere in grado di fornire qualcosa di identico anche per quelle macchine...

Esiste modo di integrarsi con i meccanismi di update di linux in maniera da ricreare il quel meccanismo gestendolo completamente senza dover per forza riscrivere tutto il codice?

Grazie anticipatamente per le risposte

[lnessuno]

Non ho esperienza in quel senso, ma credo che una possibilità sia creare un repository sul server ed impostarlo nei client come fonte per gli aggiornamenti... in teoria appena c'è un aggiornamento loro dovrebbero accorgersene e proporlo

[Maruz79]

Beh, il repository locale potrebbe essere il server centrale del cliente... Se facesse poi tutto da solo sarebbe fantastico.. effort nullo.... però dovremmo essere sicuri che copra tutti i requisiti che il sistema di installazione che vogliamo creare siano completamente soddisfatti... Se riuscissimo ad assumere il controllo del processo saremmo liberi di modificarlo a piacimento per seguire i requisiti (anche se essi dovessero cambiare)

[psykopear]

Si credo che basti quello che ha detto inessuno, ti crei un repository sul tuo server, e lo imposti in tutti i client come font degli aggiornamenti, da li il gestore aggiornamenti da solo si accorge quando ci sono updates disponibili, non c'è bisogno di fare altro

[Maruz79]

Mhhh non c'è proprio alcun modo di intragire con il processo?

[psykopear]

Originariamente inviato da Maruz79
Mhhh non c'è proprio alcun modo di intragire con il processo?

in che senso?

[cobra]

Credo che un programmino come apt-proxy possa fare al caso tuo (sempre che si tratti di debian).

[Maruz79]

Originariamente inviato da psykopear
in che senso?

Nel senso, quello che mi dici tu è praticamente... mettere su un repo locale, metterci sopra i pacchetti da distribuire, mettere nei sources.list dei client l'indirizzo della mia repo locale invece che di quella ufficiale... e tutto ciò che poi devo fare per aggiornare un client è lanciare ad esempio un apt-get e fa tutto lui... tutto funzionerebbe come una blackbox in che magicamente fa tutto... controlla quali pacchetti aggiornati deve scaricare, li scarica, li installa, controlla che l'installazione sia fatta correttamente...

A me servirebbe qualche strumento che mi permetta di inserirmi in questo processo automatico, utilizzando magari api di basso livello... anche perchè:
1) controllare quali pacchetti scaricare... si parla di patch di sistema, ma non solo anche aggiornamenti di firmware, upgrade di software installato... non credo che tutto questo sia gestito di default dall'apt-get... qundi dobbiamo poter gestire il processo di confronto tra ciò che è installato su una macchina ed una baseline presente sul server (che per altro sarà diversa per ogni client)
2) scaricare i pacchetti... questo andrebbe fatto con un protocollo sicuro e standardizzato che dipende dal cliente finale (potenzialmente diverso da cliente a cliente)... quindi anche qua dubito che sia già tutto gratis e dovremmo sviluppare qualcosa di custom...
3) installazione... probabilmente questa è l'unica parte che possiamo riutilizzare in pieno... l'unico requisito che abbiamo è che l'installazione sia transazionale... o va completamente a buon fine o il sistema deve restare esattamente come era prima di lanciarla... immagino questo sia già garantito, ma in caso contrario dobbiamo intervenire noi per fare un rollback...
4) controllo della corretta installazione... anche qua, abbiamo bisogno di verificare l'esito del'installazione e generare un report con un formato proprietario....

Una soluzione totalmente custom ci permetterebbe di controllare tutto il processo.... ma comporta un certo effort.... la soluzione "fa già tutto lui" comporta effort nullo ma non ci permette il minimo controllo..... noi stiamo cercando una via di mezzo, se esiste....

[psykopear]

Originariamente inviato da Maruz79
Nel senso, quello che mi dici tu è praticamente... mettere su un repo locale, metterci sopra i pacchetti da distribuire, mettere nei sources.list dei client l'indirizzo della mia repo locale invece che di quella ufficiale... e tutto ciò che poi devo fare per aggiornare un client è lanciare ad esempio un apt-get e fa tutto lui... tutto funzionerebbe come una blackbox in che magicamente fa tutto... controlla quali pacchetti aggiornati deve scaricare, li scarica, li installa, controlla che l'installazione sia fatta correttamente...

A me servirebbe qualche strumento che mi permetta di inserirmi in questo processo automatico, utilizzando magari api di basso livello... anche perchè:
1) controllare quali pacchetti scaricare... si parla di patch di sistema, ma non solo anche aggiornamenti di firmware, upgrade di software installato... non credo che tutto questo sia gestito di default dall'apt-get... qundi dobbiamo poter gestire il processo di confronto tra ciò che è installato su una macchina ed una baseline presente sul server (che per altro sarà diversa per ogni client)
2) scaricare i pacchetti... questo andrebbe fatto con un protocollo sicuro e standardizzato che dipende dal cliente finale (potenzialmente diverso da cliente a cliente)... quindi anche qua dubito che sia già tutto gratis e dovremmo sviluppare qualcosa di custom...
3) installazione... probabilmente questa è l'unica parte che possiamo riutilizzare in pieno... l'unico requisito che abbiamo è che l'installazione sia transazionale... o va completamente a buon fine o il sistema deve restare esattamente come era prima di lanciarla... immagino questo sia già garantito, ma in caso contrario dobbiamo intervenire noi per fare un rollback...
4) controllo della corretta installazione... anche qua, abbiamo bisogno di verificare l'esito del'installazione e generare un report con un formato proprietario....

Una soluzione totalmente custom ci permetterebbe di controllare tutto il processo.... ma comporta un certo effort.... la soluzione "fa già tutto lui" comporta effort nullo ma non ci permette il minimo controllo..... noi stiamo cercando una via di mezzo, se esiste....

Credo che tu possa fare tutto quello che hai detto, facendo come ti abbiamo consigliato.

1) Lo fai attraverso il gestore aggiornamenti grafici, puoi scegliere uno per uno quali pacchetti aggiornare e quali non

2) Un vostro server ftp non andrebbe bene?

3) E' già così di default, se ci sono errori durante l'installazione, il pacchetto non viene installato

4) Come sopre, alla fine c'è il controllo dell'installazione. Per il report non saprei

[Maruz79]

1) ops dimenticavo di dire che il processo deve agire sulle macchine client senza intervento dell'operatore e soprattutto senza che l'operatore davanti al monitor si accorga di nulla.... quindi niente interfacce grafiche e tutto gestito via codice....

2) non è un problema di server... ma proprio di protocolo di comunicazione tra server e client che deve rispettare rigide politiche di sicurezza... tls, ssl, encryption, authentication, certificati, firme digitali... insomma c'è tutto un capitolo di direttive da seguire non solo per il download dei pacchetti dal server, ma per tutte le comunicazioni tra ogni pc della rete...

3) si immaginavo questa fosse l'unica parte riciclabile al 100%

4) che tu sappia come viene gestito dal sistema il controllo dell'installazione? la politica nostra è ancora da definire bene.... ma pare si tenda verso un controllo a tappeto di tutti i file che l'installazione deve mettere... che esistano, che abbiano la data prestabilita, la dimensione prestabilita ed in caso la versione prestabilita....
Per quanto riguarda il report.... se ne venisse creato uno... dobbiamo essere in grado di farne un parse, prendere i dati significativi e generare il nostro.... nel caso non venisse creato ci è sufficiente solo capire quando una installazione è andata a buon fine e quando no (ed in caso perchè no)