Errata für debian-basierte Systeme in orcharhino

Release 4.0.0 von orcharhino brachte nicht nur ein komplett überarbeitetes Interface, sondern ein weiteres heiß ersehntes Feature mit sich: Die Errata Verwaltung von Debian bzw. Ubuntu Hosts.

Damit setzen wir einen neuen Meilenstein in der orcharhino Entwicklung. Bereits seit über einem Jahr arbeiten wir kontinuierlich am Ausbau des Debian/Ubuntu Supports. Eine kurze Übersicht darüber findet Ihr hier.

Der perfekte Tag für die Präsentation des neu integrierten Errata Supports für Debian-basierte Systeme war natürlich der Open Source Automation Day im vergangenen Oktober.

Exkurs:

Errata sind sozusagen Beipackzettel, die für ein bekanntes Problem eine Lösung anbieten. Mit einem Erratum möchte man also dem Admin die Informationen bereitstellen, welche Pakete aktualisiert werden müssen, um ein (Sicherheits)-Problem zu beseitigen.

In der Debian Welt ist das Konzept von Errata nicht sehr verbreitet. Die gängige Devise ist hier die regelmäßige automatische Installation aller Aktualisierungen von „debian-security“ (bzw. ubuntu-security). Gerade bei Servern im unternehmenskritischen Umfeld ist diese Herangehensweise jedoch zweifelhaft. Denn man sollte sich sehr genau überlegen, ob man wirklich Pakete wie „nginx“ oder „openssl“ automatisch auf allen produktiven Webserver einer Webanwendung automatisch über Nacht installieren bzw. erneuern möchte.

Seit dem Release von orcharhino 4.0.0 hat der Admin nun die volle Kontrolle über die von orcharhino verwalteten Debian / Ubuntu Systeme. Er kann nun gezielt entscheiden, welche Server, zu welchen Zeitpunkt, welche Sicherheitsupdates erhalten sollen. Der Errata Support für Debian / Ubuntu Systeme ermöglicht es uns, jeden Admin über eine einheitliche Oberfläche maßgeblich zu unterstützen.

Die Konfiguration des Debian/Ununtu Errata Features ist denkbar einfach: Die Bereitstellung der Debian / Ubuntu Sicherheitsupdates erfolgt über das „debian-security“ (bzw. „ubuntu-securtiy“) Repository. Diesem Repository fügt man nun die Errata hinzu, indem man die „Errata-URL: https://dep.atix.de/dep/api/v1/debian“ setzt. Über diese URL werden die Errata Informationen für Debian bzw. Ubuntu aufbereitet und in einem maschinenlesbaren Format für orcharhino zur Verfügung gestellt. Auf der Übersichtsseite, der in einem Produkt vorhandenen Repositories, wird nun die Anzahl der Errata in einem Repository angezeigt.

Die Verarbeitung der Errata erfolgt bei der nächsten Synchronisierung des Repositories.

Zudem findet automatisch eine Berechnung statt, ob ein bereits bestehender Debian / Ubuntu Host von einem Errata betroffen ist. Dadurch klärt sich die Frage, ob zur Lösung des aufgetretenen (Sicherheits-)Problems dieses Errata auf dem Host installiert werden muss.

In der orcharhino Management UI kann man sich eine Liste von allen Errata anzeigen lassen. Diese lässt sich auch auf anwendbare bzw. installierbare Errata für die bereits bestehenden Debian/Ubuntu Hosts einschränken.

Wählt man ein Erratum direkt aus, erhält man zusätzliche Informationen wie detaillierte Beschreibung, betroffene Pakete, entsprechenden CVE (Common Vulnerabilities and Exposures), betroffene Hosts, usw. Über diese Übersichts-Liste lässt sich zudem eine Installation von Errata auf einen oder mehreren betroffenen Hosts initiieren. 

Wählt man den betroffenen Host aus, zeigt dieser die Errata für den Debian / Ubuntu Host an. Natürlich lässt sich auch hier die Installation eines Erratum oder mehrerer Errata starten. orcharhino prüft, ob für die Installation zunächst die Erstellung einer inkrementellen Content View Version notwendig ist. In dieser befinden sich dann alle Pakete des Erratums. Über das in Version 4.0.0 standardmäßig vorhandene RemoteExecution Plugin lässt sich nun die Installation des Erratums auf dem Host durchführen.

Mit der Verwaltung von Errata für debian-basierte Systeme in orcharhino  ist uns die Komplettierung des Debian / Ubuntu Support gelungen. Selbstverständlich werden wir diesen kontinuierlich weiterentwickeln und darüber berichten.