andrelop's blog

Para aqueles, como eu, que precisam administrar dezenas de servidores e mantê-los atualizados em relação a aplicação de atualizações de segurança, a forma mais fácil de cumprir essa tarefa seria automatizá-la ao máximo.

Porém, quando o assunto é aplicação 100% automatizada de novas versões de pacotes de softwares em servidores de produção sem intervenção humana alguma, eu tendo a ter um nível de aceitação bastante baixo para essa idéia, por razões óbvias.

A solução, em meu caso, foi adotar uma solução que automatiza parcialmente o processo de gerenciamento de atualizações. A parte que exige mais participação intelectual, ou seja, a aplicação das atualizações propriamente ditas, eu mesmo prefiro executar manualmente, visto que posso interferir caso qualquer problema maior ocorra.

Como utilizo Debian GNU/Linux na imensa maioria dos servidores que administro, as tarefas de checar pela disponibilidade de atualizações e fazer o download das mesmas são triviais, já que existe suporte para fazê-las de forma bastante simples nas ferramentas de gerenciamento de pacotes nativas do próprio sistema operacional.

Porém, mesmo com a simplicidade e facilidade fornecida por essas ferramentas, quando a quantidade de servidores a ser administrada cresce a tarefa de ter que checar pela disponibilidade das atualizações, verificar a aplicabilidade de cada uma delas a cada um dos servidores administrados e fazer o download das mesmas, deixando as atualizações guardadas em um cache local para posterior aplicação, é algo que começa a consumir um tempo bastante grande.

Para facilitar, adotei já há alguns anos uma solução de gerenciamento de atualizações (que pode ser configurada para aplicar automaticamente as atualizações de maneira relativamente simples, mas não pretendo usar essa funcionalidade) bastante simples que cumpre essas tarefas de forma bastante satisfatória.

Trata-se do apticron, um script shell bem simples e disponível como um pacote Debian nos repositórios oficiais de pacotes Debian. Instalá-lo é tão simples quanto instalar qualquer outro pacote Debian comum, ou seja, ele se encontra somente a um aptitude install de distância

Após instalá-lo, costumo modificar somente duas variáveis no arquivo de configuração /etc/apticron/apticron.conf : a variável de nome EMAIL e a variável de nome LISTCHANGES_PROFILE.

Para a primeira variável, forneço como valor o endereço de e-mail no qual eu desejo receber as mensagens de aviso que serão enviadas pelo apticron quando novas atualizações estiverem disponíveis e, no caso da segunda, simplesmente descomento a linha que define a variável, deixando a mesma com o valor apticron.

Isso faz com que, ao enviar as mensagens de aviso de atualizações aplicáveis aos seus servidores, o apticron obtenha a saída do utilitário apt-listchanges (mais um utilitário interessante disponível também como um pacote Debian nos repositórios oficiais Debian e também somente a um aptitude install de distância) e a envie juntamente as mensagens de aviso, o que lhe permite conhecer, além dos pacotes e versões novas disponíveis para instalação, a lista de mudanças (o changelog) dos pacotes para os quais existam atualizações disponíveis.

Além de lhe avisar sobre as atualizações disponíveis e aplicáveis aos seus servidores, o apticron, por padrão, já faz o download das mesmas e as deixa no cache local de pacotes de seu gerenciador de pacotes, de forma que, posteriormente, você precise somente se conectar ao servidor analisado pelo apticron e executar o comando a seguir :


# aptitude upgrade


Pronto. As atualizações deixadas em seu cache local de pacotes serão utilizadas e aplicadas em seu servidor, da mesma forma como você costuma atualizar seus pacotes Debian em um processo usual, sem o envolvimento de nenhuma ferramenta de gerenciamento de atualizações como o apticron.

A execução do apticron ocorre diariamente (por padrão, mas isso pode ser modificado conforme sua necessidade) junto a execução das tarefas agendadas para execução com periodicidade diária pelo cron, sob o diretório /etc/cron.daily (mais especificamente, no arquivo /etc/cron.daily/apticron).

Como se trata de um script shell simples (em /usr/sbin/apticron), o apticron pode ser modificado facilmente, inclusive para que as atualizações já sejam aplicadas automaticamente após o donwload das mesmas, caso desejado.

Novamente, isso não seria algo que eu recomendaria, visto que existem diversos detalhes a serem observados durante uma atualização e decisões que precisam ser tomadas por um intelecto humano (e não por um script shell simples), as quais, nem sempre, possuem uma resposta padrão válida para todos os casos.

De qualquer forma, acredito que o apticron cumpre realmente as tarefas que se propõe a cumprir, de forma simples e descomplicada. Para outras necessidades mais exóticas, uma possibilidade seria utilizar o cron-apt.

Pessoalmente, posso dizer que já utilizei o cron-apt e acabei optando pelo apticron por esse último ser mais simples, cumprir somente as tarefas que eu realmente precisaria automatizar (sem mais nem menos) e funcionar de forma mais confiável que o cron-apt em meus testes.

Por último, apesar de ser evidente para os leitores que chegaram até aqui, esta é uma solução específica para distribuições GNU/Linux baseadas em pacotes Debian. Qual a solução que vocês utilizam para seus servidores, sejam eles baseados em um sistema de gerenciamento de pacotes Debian ou não ? Deixe suas dicas, experiências e indicações nos comentários.

Hoje fiz um teste de instalação do futuro Debian GNU/Linux 4.0, codinome Etch, que esperamos estar disponível ainda em Dezembro deste ano.

Usei a imagem ISO do primeiro CD da última weekly-build disponível (02/10/2006) em uma máquina virtual de testes que configurei somente para isso. Testei uma instalação deixando o particionador trabalhar sozinho criando um layout de particionamento usando LVM de forma automática e somente aceitei o layout proposto.

Durante a seleção de softwares (tasksel), selecionei somente as tarefas de Sistema Desktop (Desktop System) e Sistema Padrão (Standard System). Ápós o download a instalação dos pacotes, encontrei um problema menor que consegui corrigir e prosseguir com a instalação.

Ainda tenho que testar uma imagem diária para verificar se o erro já foi corrigido e relatar o erro caso não tenha, mas tenho fé que já esteja corrigido. De qualquer forma, fiquei surpreso com o que vi após finalizar a instalação.

A instalação agora é toda feita em um único estágio (ou seja, acabou o esquema antigo debian-installer-reboot-base-config), vários problemas menores que não eram o fim do mundo mas atrapalhavam foram corrigidos e, o melhor de tudo, o X.Org com um GNOME extremamente bem configurado por padrão já sobe sem configuração quase nenhuma.

Eu gostaria de parabenizar a equipe do debian-installer, mas também gostaria de parabenizar principalmente o pessoal do subprojeto Debian Desktop, e mais especificamente nosso amigo Gustavo Franco (stratus) que trabalhou duro para criar um tasksel que fornecesse um ambiente desktop completo e bastante funcional.

E, claro, sempre ele, Joey Hess, que foi sempre rápido ao incorporar os patches e sugestões de nosso amigo stratus. Infelizmente, não vamos ter um Etch com o GNOME 2.16, mas podem ter certeza que nosso GNOME 2.14 já está bastante completo e muito amigável.

O desktop já veio prontinho, com o GNOME completo, muito bem configurado, e com softwares para tudo o que um usuário comum desktop precisa : navegador Web, leitor de e-mail, player de vídeo, player de músicas, mensageiro instantâneo, software gravador de CDs, suíte de escritório completa e muito mais.

Para dar um toque ainda mais profissional e oferecer ainda mais facilidade ao usuário final, o update-manager completamente funcional já acoplado ao painel do GNOME por padrão, lhe avisando de atualizações disponíveis e lhe permitindo instalá-las, tudo de forma gráfica, sem a necessidade de recorrer a linha de comando para nada.

Obrigado ao pessoal do Ubuntu por criar o update-manager e ao kov por empacotá-lo para o Debian e deixá-lo funcionando tinindo para o Etch. Resumindo : de difícil o Debian não tinha nada e, agora, além de estar mais fácil de instalar ainda, está bem mais amigável.

Que venha o Etch