Als Linux-Distribution f\u00fcr den Betrieb im Rechenzentrum fiel unsere Wahl vor einiger Zeit auf Red Hat Enterprise Linux. Zu meinen Aufgaben geh\u00f6rt es, ein Patch-Management f\u00fcr diese Systeme zu entwickeln, welches die folgenden Anforderungen erf\u00fcllt:<\/p>\n
Ich habe mich entschieden, diese Anforderungen durch die Verwendung von Ansible zu erf\u00fcllen. Wem Ansible noch kein Begriff ist, m\u00f6ge einen Blick in die Quellen am Ende des Artikels werfen.[1. Ansible – IT-Automation f\u00fcr Jedermann<\/a>] [2. Ansible Documentation {en}<\/a>] [3. Linux-Benutzerkonten mit Ansible verwalten<\/a>] [4. Das Modul yum_repository<\/a>] [5. Die Module copy und cron<\/a>]<\/p>\n Mit den Anregungen meines Arbeitskollegen habe ich dazu das folgende Playbook erstellt, welches die Rolle rhel-patchmanagement<\/em> auf allen Hosts mit einem Red Hat Betriebssystem ausf\u00fchrt:<\/p>\n Die Rolle rhel-patchmanagement<\/em> besteht aus den beiden folgenden Dateien:<\/p>\n roles\/patch_rhel\/vars\/main.yml<\/em>:<\/p>\n Obiges Listing gibt ein kurzes Beispiel, wie die Red Hat Security Advisory (RHSA) Nummern einer Variablen zugewiesen werden k\u00f6nnen. Die Variable rhsa_to_install<\/em> wird dann in der Task-Datei verwendet.<\/p>\n roles\/patch_rhel\/tasks\/main.yml<\/em>:<\/p>\n Zuerst wird das Kommando zur Aktualisierung der zu den angegebenen RHSA geh\u00f6renden Pakete auf den Hosts ausgef\u00fchrt. Dabei wird die Ausgabe des Kommandos Erkl\u00e4rung<\/em>: Wurden Pakete aktualisiert, steht in der letzten Zeile der YUM-Ausgabe der Ausdruck „Complete!“. Der letzte Task wartet 30 Sekunden ab, um dem Host Zeit f\u00fcr den Neustart zu geben und pr\u00fcft, ob eine Verbindung hergestellt werden kann. Damit soll sichergestellt werden, dass der Host nach dem Neustart wieder korrekt hochf\u00e4hrt.<\/p>\n Damit sind die Anforderungen aus Punkt 2 und 3 erf\u00fcllt. Um auch noch die Anforderung aus Punkt 1 zu erf\u00fcllen, setze ich folgendes Wrapper-Skript ein, welches das Playbook zu den definierten Stichtagen ausf\u00fchren soll:<\/p>\n Mit diesem Wrapper-Skript m\u00f6chte ich daf\u00fcr sorgen, dass an jedem 2. Dienstag im Monat die RSHA-Aktualisierungen auf den Hosts in der rhel-patch-phase1, jeden 3. Dienstag in der rhel-patch-phase2, jeden 4. Dienstag in der rhel-patch-phase3 und jeden 4. Mittwoch in rhel-patch-phase4 installiert werden.<\/p>\n So kann sichergestellt werden, dass die Informationen aus den RHSA alle Hosts erreichen. Gleichzeitig wird den Betreibern der Hosts die Gelegegnheit gegeben, die Aktualisierungen bis zu den genannten Stichtagen selbst einzuspielen. Damit sollte ich auch an Punkt 1 einen Haken dran machen k\u00f6nnen.<\/p>\n\n Die Ansible-Rolle und dazugeh\u00f6rende Skripte und Beispiel-Dateien findet ihr auf:\n \n\tFragen zur Anwendung, Konfiguration und Nutzung des RHEL-Patchmanagements k\u00f6nnt ihr gerne auf GitHub oder hier in den Kommentaren stellen.\n<\/p>\n \n\tAktualisiert am: 07.09.2018<\/em>\n<\/p>\n","protected":false},"excerpt":{"rendered":" Als Linux-Distribution f\u00fcr den Betrieb im Rechenzentrum fiel unsere Wahl vor einiger Zeit auf Red Hat Enterprise Linux. Zu meinen Aufgaben geh\u00f6rt es, ein Patch-Management f\u00fcr diese Systeme zu entwickeln, welches die folgenden Anforderungen erf\u00fcllt: Die zu aktualisierenden Hosts werden in Gruppen im Ansible Inventory verwaltet. Eine Gruppe entspricht dabei einer Stage\/Phase f\u00fcr das Patch-Management. [Weiterlesen…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[532,51],"tags":[410,428,305,419],"class_list":["post-1563","post","type-post","status-publish","format-standard","hentry","category-ansible","category-linux","tag-ansible","tag-patch-management","tag-planet","tag-red-hat"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1563","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1563"}],"version-history":[{"count":13,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1563\/revisions"}],"predecessor-version":[{"id":2743,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1563\/revisions\/2743"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1563"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1563"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1563"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}---\n- hosts: all\n\n tasks:\n - name: Group by OS\n group_by: key=os_{{ ansible_distribution }}\n changed_when: False\n\n- hosts: os_RedHat\n roles:\n - rhel-patchmanagement\n<\/pre>\n\n
---\nrhsa_to_install: RHSA-2016:1626,RHSA-2016:1628,RHSA-2016:1633\n<\/pre>\n
---\n - name: Install Red Hat Security Advisory (RHSA)\n command: yum -y update-minimal --advisory {{ rhsa_to_install }}\n register: yum_output\n - debug: var=yum_output\n\n - name: Reboot Host if packages were updated\n shell: sleep 2 && shutdown -r now \"Ansible updates triggered\"\n async: 1\n poll: 0\n ignore_errors: true\n when: ('\"Complete!\" in \"{{ yum_output.stdout_lines[-1] }}\"') or\n ('\"Komplett!\" in \"{{ yum_output.stdout_lines[-1] }}\"')\n\n - name: waiting for access server\n local_action: wait_for\n host={{ inventory_hostname }}\n state=started\n port=22\n delay=30\n timeout=300\n connect_timeout=15\n<\/pre>\nyum<\/code> auf den Hosts der Variable yum_output<\/em> zugewiesen.[6. Registered Variables<\/a>] Diese Variable wird im n\u00e4chsten Schritt ausgewertet, um zu ermitteln, ob Pakete aktualisiert wurden. Ist dies der Fall, wird der Host neugestartet.<\/p>\n\"{{ yum_output.stdout_lines[-1] }}\"<\/code> dereferenziert die Variable und liefert die Ausgabe des YUM-Kommandos als Liste zur\u00fcck. Dabei wird in diesem Fall auf das letzte Element der Liste zugegriffen. Enth\u00e4lt diese Zeile den genannten Ausdruck, wird der Host neugestartet. Hinweis:<\/em> Die zweite Zeile der when-Bedingung aus dem oberen Listing dient der Behandlung einer deutschsprachigen Ausgabe. In diesem Fall wird das Schl\u00fcsselwort „Komplett!“ ausgegeben und in der Variable gespeichert.<\/p>\n#!\/bin\/sh\n\nDOM=`date +%d`\nDOW=`date +%w`\nLOG=\"\/var\/log\/ansible\/patch_run_`date +%Y-%m-%d`.log\"\nSETUP_LOG=\"\/var\/log\/ansible\/setup_patch_run_`date +%Y-%m-%d`.log\"\nSSH_KEY=\"\/pfad\/zum\/ssh-key\"\nPLAYBOOK=\"\/data\/ansible\/patch_rhel.yml\"\nCREATEVARS=\"\/pfad\/zu\/roles\/rhel-patchmanagement\/create_vars.sh\"\n\n# Run Patch-Management ad-hoc in the specified phase.\n# Example: '.\/run_rhel_patch_mgmt.sh NOW rhel-patch-phase1'\nif [ \"${1}\" = \"NOW\" ] && [ -n \"${2}\" ]\nthen\n ansible-playbook $PLAYBOOK --private-key=$SSH_KEY --limit=\"${2}\" >>$LOG 2>&1\n exit\nfi\n\nif [ \"${1}\" = \"NOW\" ] && [ -z \"${2}\" ]\nthen\n echo \"ERROR: Second argument is missing.\"\n echo \"Example: '.\/run_rhel_patch_mgmt.sh NOW rhel-patch-phase1'\"\n exit\nfi\n\n# Setup the next patchcycle\nif [ \"$DOW\" = \"2\" ] && [ \"$DOM\" -gt 0 ] && [ \"$DOM\" -lt 8 ]\nthen\n $CREATEVARS > $SETUP_LOG 2>&1\nfi\n\n# Patchcycle of the rhel-patch-phase1 on the second Tuesday of a month\nif [ \"$DOW\" = \"2\" ] && [ \"$DOM\" -gt 7 ] && [ \"$DOM\" -lt 15 ]\nthen\n ansible-playbook $PLAYBOOK --private-key=$SSH_KEY --limit=rhel-patch-phase1 > $LOG 2>&1\nfi\n\n# Patchcycle of the rhel-patch-phase2 on the third Tuesday of a month\nif [ \"$DOW\" = \"2\" ] && [ \"$DOM\" -gt 14 ] && [ \"$DOM\" -lt 22 ]\nthen\n ansible-playbook $PLAYBOOK --private-key=$SSH_KEY --limit=rhel-patch-phase2 > $LOG 2>&1\nfi\n\n# Patchcycle of the rhel-patch-phase3 on the fourth Tuesday of a month\nif [ \"$DOW\" = \"2\" ] && [ \"$DOM\" -gt 21 ] && [ \"$DOM\" -lt 29 ]\nthen\n ansible-playbook $PLAYBOOK --private-key=$SSH_KEY --limit=rhel-patch-phase3 > $LOG 2>&1\nfi\n\n# Patchcycle of the rhel-patch-phase4 on the fourth Wednesday of a month\nif [ \"$DOW\" = \"3\" ] && [ \"$DOM\" -gt 21 ] && [ \"$DOM\" -lt 30 ]\nthen\n ansible-playbook $PLAYBOOK --private-key=$SSH_KEY --limit=rhel-patch-phase4 > $LOG 2>&1\nfi<\/pre>\n\n\t