Hello,
J'ai eu la même problématique récemment et j'ai déployée ZTC (https://share.zabbix.com/cat-app/security/zabbix-threat-control) sur un "petit périmètre"
C'est je pense pas très scalable, un peu artisanal, mais compatible Debian/RedHat, tu as les remontées de CVS (via Vulners)
Et tu peux déclencher les mises à jour depuis la console Zabbix, pas paquet ou par serveur.
-- Julien
Le 18/09/2020 à 13:40, Jonathan Leroy - Inikup via FRsAG a écrit :
(Cross-post sur FRsAG, du coup).
Hello,
Katello / Satellite / Landscape c'est plus de la gestion de confs que du patch management IMHO. Aptly permet de gérer des dépôts APT mais c'est tout.
Pas de remontée de l'état des machines, de gestion des CVE, de dashboards... J'ai regardé l'année dernière et n'ai rien trouvé en open-source ou au moins "on-premise" qui supporte Debian. Si en plus tu veux mixer les distributions ça va être compliqué.
J'avais pensé dev un petit truc mais pas trop le temps. Récemment je suis tombé sur Patchman, pas testé : https://github.com/furlongm/patchman.
Le ven. 18 sept. 2020 à 13:24, Jean-Yves LENHOF jean-yves@lenhof.eu.org a écrit :
Le 18/09/2020 à 12:53, SECOND Fabien a écrit :
Bonjour à tous,
Je voulais savoir si vous avez des retours d'expérience sur des solutions de gestion des patchs pour différentes distributions Linux. L'idée c'est de déployer des patchs de secu sur une ferme de serveurs hétérogène : Debian, Centos, RedHat ...
Je pense déjà à mettre en place Ansible pour la gestion des confs mais je voudrais avoir une gestion assez fine pour les patchs de secu.
Merci d'avance pour vos retours
Fabien
Hello,
C'est plus une question pour Frsag ça normalement ;-)
Pour RedHat/Centos tu utilises la solution upstream Katello ou sinon un serveur Satellite chez RH
Pour Debian, pas vraiment aussi complet, mais je regarderais au niveau https://www.aptly.info/
Pour Ubuntu : https://landscape.canonical.com/index.html
Sinon il existe des solutions commerciales :
https://www.comparitech.com/net-admin/best-linux-patch-management-tools/
Il faudra suivant les solutions utiliser en plus de l'Ansible/Puppet whatever pour gérer tout ça avec un peu d'huile de coude
Cordialement,
JYL
Liste de diffusion du FRnOG http://www.frnog.org/