Frage Welches Tool empfehlen Sie, Änderungen auf einem Linux / Unix-Server zu verfolgen?


Ich verwalte mehrere Linux-Server für Clients in verschiedenen Rollen wie E-Mail, Caching, Web-Serving, Filtering, Firewalling / Routing und so weiter.

Da ich diese Computer nicht besitze und nur Remoteunterstützung anbiete, scheinen zentrale Verwaltungssysteme wie Puppet nicht das richtige Werkzeug zu sein. (Bitte korrigiere mich, wenn du denkst, dass ich mich bei dieser Annahme irre)

Welche Tools empfehlen Sie, Änderungen von Konfigurationsdateien, Paketinstallationen usw. zu verfolgen?

Ich denke so etwas wie Etckeeper vielleicht in der Nähe von dem, was ich brauche, aber ich möchte wissen, ob es etwas Besseres gibt.


Aktualisieren

Wir werden Sicherungskopien der Systeme haben, und ich würde nicht erwarten, dass diese Art von Werkzeug eine Alternative zu einer Sicherung darstellt. Hier geht es darum, Änderungen der Konfiguration zu verfolgen und ein System zu haben, um zu wissen, was wann, von wem und hoffentlich warum geändert wurde.


38
2018-05-04 06:31


Ursprung


Siehe auch serverfault.com/questions/5410/... - Zoredache
Abstimmung für Etckeeper. Ich habe bis jetzt nichts davon gehört. - icasimpan


Antworten:


Ich habe etckeeper auf meiner persönlichen Workstation, aber ich habe noch nicht viel damit zu tun (abgesehen davon, dass es alle meine Änderungen verfolgt). Scheint so, als würde es einen vernünftigen Job machen, um sicherzustellen, dass du zumindest weißt, was mit ihm herumgespielt wurde.

Ich würde Puppet als Lösung nicht abschreiben - solange einige der Dienste auf der Maschine in Ihrer Verantwortung zu halten sind, dann ein System, das sicherstellt, dass, wenn jemand Ihre Konfiguration wackelt, diese wieder so eingerichtet wird, wie Sie es wollen ist ein Geschenk des Himmels.

Auf der anderen Seite, wenn andere regelmäßig Änderungen vornehmen (und sie in der Regel nicht vermasseln), müssen Sie möglicherweise darauf zurückgreifen, nur zu verfolgen, was andere Leute für eine spätere Notfallwiederherstellung getan haben. Vergiss nicht, dass sich die Dinge überall ändern werden, also könnte ein Checkpoint-Tool für die gesamte Maschine besser sein. Ich würde vielleicht sogar in Erwägung ziehen, ein inkrementelles Backup auf Festplatte zu erstellen (wie rdiff-backup oder so), um sicherzustellen, dass Sie alles verfolgen (vielleicht drop / home und andere Benutzerlevel aus dem Backup, wenn Sie nur wollen) um administrative Änderungen zu verfolgen).


14
2018-05-04 07:14





Vielleicht möchten Sie sich das ansehen Stolperdraht oder BERATER

Beide verfolgen Konfigurationsdateiänderungen auf Ihren Maschinen.


6
2018-05-04 06:38



Tripwire und AIDE sind wirklich gute Werkzeuge, aber sie sind beides sehr Schwergewicht im Vergleich zu Changetrack oder Etckeeper. Wenn Sie vollständige Integritätsprüfung und Host-basierte IDS-Funktionen benötigen, sind sie eine gute Wahl. Aber wenn du nur Änderungen von anderen Admins überwachen willst, würde ich sie nicht empfehlen. - Christopher Cashell
Ich würde Ihrer Einschätzung zustimmen, wenn es nur Tripwire wäre. Aber AIDE ist extrem einfach zu verwenden, um nur Dateisystemänderungen zu verfolgen. - Mark Turner
Es ist eine Weile her, seit ich mit AIDE oder Tripwire gespielt habe, aber als ich nach etwas suchte, um Konfigurationsänderungen zu überwachen (ich ging schließlich mit Changetrack), mein Spiel mit AIDE schlug vor, dass es schwierig oder unmöglich war, Diffs einfach zu senden von irgendwelchen Dateien, die in der letzten Stunde geändert wurden, senden Sie jede Stunde (zum Beispiel). Das, plus das Speichern der Änderungen in einer Art Revisionskontrollsystem war alles was ich brauchte, und AIDE schien umständlich dafür. Das war vor einigen Jahren, also haben sich die Dinge definitiv geändert. - Christopher Cashell


Ich habe Etckeeper angeschaut, aber ich habe es nicht benutzt. Allerdings habe ich gebraucht Änderungsspur. Ich benutze es seit vielen Jahren auf all meinen Heimgeräten und bei meiner vorherigen Arbeit war es Teil unserer Standard-Server-Installation. Wir haben es dort in den letzten fünf Jahren benutzt und es auf etwa 200 Boxen installiert.

Das Setup ist trivial (ich habe bei meinem letzten Job ein RPM dafür erstellt), und die Konfiguration ist wirklich einfach. Ich richte es generell so ein, dass alle von / etc / überwacht werden.


4
2018-05-04 06:39



also warum hast du die rpm nicht ins changetrack-projekt hochgeladen :) - gbjbaanb
Ich habe genau das geplant. Allerdings habe ich meinen letzten Job aufgegeben, bevor ich ihn hochgeladen habe und keinen Zugriff mehr darauf habe. Ich werde aber einige meiner ehemaligen Kollegen anpingen, ob sie es schaffen können. - Christopher Cashell


Zum Verfolgen von Paketänderungen (Installationen, Upgrades usw.) auf RPM-basierten Systemen, solange alle Änderungen vorgenommen werden yum oder yumex, jede Paketänderung ist angemeldet /var/log/yum.log.

Andere Leute haben bereits Änderungen in der Verfolgung geantwortet /etc. Vergessen Sie nicht, dass Sie Konfigurationsänderungen auch nachverfolgen möchten bind welche sind teilweise in /var (zumindest auf vielen Linux-Distributionen) und dass Webseiten darunter sind /var/wwwauf vielen Linux-Distributionen. Es wird Verzeichnisse draußen geben /etc die über wichtige Konfigurationsinformationen verfügen.

Abhängig davon, wie die Dinge verwaltet werden, möchten Sie möglicherweise auch verfolgen /usr/local/etc und andere Verzeichnisbäume (/opt, einige Bäume unter /varund alles andere, was spezifisch für Ihre Kunden ist).


4
2018-05-04 16:05





Als Ausgangspunkt möchten Sie vielleicht einen Blick darauf werfen Entwurf, die eine Systemkonfiguration analysiert. Es ist zwar beabsichtigt, Konfigurationen für Puppet oder Chef zu erstellen, es gibt jedoch keinen Grund, warum Sie sie nicht nur für die Berichterstellung verwenden könnten.


3
2018-03-25 02:27





Ein einfaches Dateiüberwachungsskript ist filemon Ich benutze es auf meinem Heim-PC, und kombiniert mit Crontab macht es einen einfachen und einfachen Job. Für eine komplexere Lösung der Integritätsprüfung (Dateiänderungen, neue Pakete installiert und viele andere) verwende ich OSSEC auf einer Reihe von Servern.


2
2018-05-04 10:34





Du könntest / etc unter eine dvcs wie git setzen. Sie würden jedes Mal, wenn Sie Änderungen vornehmen, ein Commit machen, und dann könnten Sie einfach diff, wenn Sie einen Job starteten und alle Änderungen angezeigt bekommen.


2
2018-05-04 22:33



Gute Idee, genau das macht Etckeeper. Es unterstützt Git, Mercurial oder Basar. Es verbindet sich mit Ihrem Paketverwaltungssystem, um Änderungen in Bezug auf Pakete, die hinzugefügt / aktualisiert werden, zu verfolgen. - Zoredache
Hier ist ein Beitrag über das Einrichten von so etwas in Arch Linux ARM, sollte hier genauso gut gelten. zduck.com/2012/storing-your-raspberry-pi-config-in-git - silent__thought


LBackup unterstützt die Protokollierung von Löschen, Ändern und Hinzufügen von Dateien.


0
2018-01-16 13:27