FreeBSD + Jails up2date halten - Nagios Monitoring

[igno2k]

Hallo zusammen,

im Moment überwache ich gut 2 Dutzend Server (bisher alles Debian Maschinen) mittels Nagios. Auch wird überwacht, ob es neue Pakete/Updates gibt, die eingespielt werden wollen.

Nun stellt sich mir die Frage, wie ich soetwas unter FreeBSD realisieren kann. Also min. alle 24h automatisch prüfen lassen, ob es Updates für die Pakete oder Ports gibt. Und dies sowohl in den Host Systemen als auch in den Jails. Das Ganze dann natürlich mit Übermittlung an Nagios.

Macht da jemand soetwas in der Art? Bzw. besser gefragt - gibt es da bereits eine fertige Lösung speziell für FreeBSD?

Zusätzlich stellt sich mir dann die Frage, wie man die Ports/Pakete in den Jails ohne großen Aufwand administrieren und updaten kann. Gibt es hierfür auch schon Lösungen, die dem Administrator das Leben erleichtern?

Klar kann man sich alles selber scripten, nur wäre eine vorhandene *und* funktionierende Lösung natürlich genauso gut.

Matthias

 

[Kamikaze]

Du kannst in periodic oder cron ein Skript eintragen das solche Daten erhebt, wie du sie übermitten willst ist aber dir überlassen

Aktualisiert den Ports-Tree:
# portsnap fetch update

Zeigt veraltete Pakete
# pkg_version -Ioql\<

Zeigt unsichere Pakete:
# portaudit -Fa

 

[mousaka]

Nun stellt sich mir die Frage, wie ich soetwas unter FreeBSD realisieren kann. Also min. alle 24h automatisch prüfen lassen, ob es Updates für die Pakete oder Ports gibt. Und dies sowohl in den Host Systemen als auch in den Jails. Das Ganze dann natürlich mit Übermittlung an Nagios.

Schau dir mal portaudit und jailaudit an.
Damit findest du Ports die Sicherheitslücken aufweisen. Neue Versionen werden allerdings nicht angezeigt, sofern sie keine Sichersheitslücken schliessen. Dafür wäre wohl ein portversion -vL= (aus portupgrade) angebracht.

Zu Nagios habe ich diesen Link gefunden: http://www.geocities.com/ntb4real/proj/portaudit.htm, habe aber selbst keine Erfahrung damit.

Zusätzlich stellt sich mir dann die Frage, wie man die Ports/Pakete in den Jails ohne großen Aufwand administrieren und updaten kann. Gibt es hierfür auch schon Lösungen, die dem Administrator das Leben erleichtern?

Hast du dir schon ezjail angeschaut?

mousaka

 

[igno2k]

Danke für die schnellen Antworten!

Zeigt veraltete Pakete
# pkg_version -Ioql\<

Zeigt unsichere Pakete:
# portaudit -Fa

Entsprechen unsichere Pakete nicht automatisch veralteten Paketen? Der von dir genannte Aufruf von pkg_version sollte dann ja eigentlich ausreichen, um Updates zu finden. Sobald portaudit eine Schwachstelle kennt, gibt es doch auch schon ein Update in den Ports, oder ist dies nicht generell so?

Schau dir mal portaudit und jailaudit an.

portaudit habe ich installiert und jailaudit schaut sehr gut aus!
Danke für den Link zum Plugin, das hört sich auch gut an.

Hast du dir schon ezjail angeschaut?

ezjail habe ich im Einsatz und bin echt überrascht, wie einfach und effizient sich damit neue jails erstellen lassen. Aber die Ports updaten damit geht soweit ich das jetzt gesehen habe doch nicht, oder? Höchstens die basejail (=Base System) mit dem ezjail-admin update Aufruf.

Matthias

 

[mousaka]

Entsprechen unsichere Pakete nicht automatisch veralteten Paketen?

Naja, bedingt. Gerade kürzlich ist die erste "stabile" OpenLDAP 2.4 erschienen, Version 2.3 ist dadurch nicht fehlerhaft. Admins werden vermutlich nicht alle sofort auf die neue Version umsteigen und es wird wohl auch noch das eine oder andere (Sicherheits-)Update für 2.3 geben.
Der Apache 1.3 wird nach wie vor gepflegt, obwohl 2.0 und 2.2 schon einige Zeit als "stabile" Versionen gelten.

Verschiedene Software-Projekte gehen sehr unterschiedlich vor, FreeBSD bzw. die Ports haben damit nichts zu tun.

Aber die Ports updaten damit geht soweit ich das jetzt gesehen habe doch nicht, oder?

Ja.

Dafür würde ich eine Tinderbox in einer jail verwenden und die dort gebauten Pakete in den übrigen jails installieren. Zu Tinderbox gibts ein gutes How-To von Andreas Meyer.

mousaka

 

[Kamikaze]

Entsprechen unsichere Pakete nicht automatisch veralteten Paketen? Der von dir genannte Aufruf von pkg_version sollte dann ja eigentlich ausreichen, um Updates zu finden. Sobald portaudit eine Schwachstelle kennt, gibt es doch auch schon ein Update in den Ports, oder ist dies nicht generell so?

Nein, es kann durchaus auch Pakete mit Lücken geben, für die es so schnell kein Update gibt. Dann solltest du die Beschreibung lesen und prüfen ob die Lücke in deinem Anwendungsszenario relevant ist, ob es einen Workaround gibt oder ob du den Dienst vorübergehend einstellst.

Alternativ kann es auch alte Pakete ohne Lücken geben. Die brauchst du normalerweise nicht upzudaten (wenn sie nicht Abhängigkeiten von etwas anderem sind), wenn du die neuen Funktionen neuer Versionen nicht benötigst.