[sage] SAGE Digest, Vol 84, Issue 4

Patrick Ben Koetter p at state-of-mind.de
Tue Dec 31 17:26:33 CET 2013 

* BGM <bernhard.glomm at ecologic.eu>:
> FAI ist zum ausrollen von .deb Systemen AFAIK erste Wahl.
> Für das Komfiguratonsmanagement setze ich auf cfengine,
> das ist nicht nur distributions- sondern auch plattformunabhängig.
> ***IXe, OS X, und - das habe ich mir bisher allerdings noch nicht
> angetan - selbst Windowssysteme lassen sich damit wie von Dir
> gewünscht administrieren.
> http://cf-learn.info/
> ist günstig und einmal verdaut ist das keine Hexerei.

ACK. cfengine hat eine gewisse Lernkurve. Die Denke muss erst mal in den Kopf
rein. Danach hat man ein zuverlässiges Tool an der Hand. Die Version 3 war ein
kompletter Rewrite, der viel Lernerfahrung der 2er eingearbeitet hat.

Ggf. ist auch saltstack interessant. Wenn man in der Python-Welt zuhause ist,
allemal.

> hth und guten Rutsch etc pp

+1

p at rick

> On 31.12.2013, at 12:00, sage-request at guug.de wrote:
> 
> > Send SAGE mailing list submissions to
> >    sage at guug.de
> > 
> > To subscribe or unsubscribe via the World Wide Web, visit
> >    http://lists.guug.de/mailman/listinfo/sage
> > or, via email, send a message with subject or body 'help' to
> >    sage-request at guug.de
> > 
> > You can reach the person managing the list at
> >    sage-owner at guug.de
> > 
> > When replying, please edit your Subject line so it is more specific
> > than "Re: Contents of SAGE digest..."
> > 
> > 
> > Today's Topics:
> > 
> >   1. Konfigurations-Datei-Management (Manuel Schneider)
> >   2. Re: Konfigurations-Datei-Management (Frank Doepper)
> >   3. NTPD compromised for DDOS (Julian H. Stacey)
> >   4. Re: Konfigurations-Datei-Management (Simon H?nscheid)
> > 
> > 
> > ----------------------------------------------------------------------
> > 
> > Message: 1
> > Date: Mon, 30 Dec 2013 14:28:32 +0100
> > From: Manuel Schneider <manuel.schneider at wikimedia.ch>
> > Subject: [sage] Konfigurations-Datei-Management
> > To: sage at guug.de
> > Message-ID: <52C17500.3020905 at wikimedia.ch>
> > Content-Type: text/plain; charset=ISO-8859-15
> > 
> > Hallo zusammen,
> > 
> > ich bin auf der Suche nach einem geeigneten
> > Konfigurationsmanagement-Werkzeug, welches mir die Arbeit bei der
> > Verwaltung heterogener Linux-Umgebungen erleichtern soll. Bewusst
> > schrieb ich "Konfigurations-Datei-Management" in den Betreff, denn darum
> > geht es im Kern.
> > 
> > Sicherlich gib es das Gesuchte schon, aber die L?sungen, die ich mir
> > angesehen habe (Puppet, Git) scheinen das nicht so zu liefern - oder ich
> > kenne mich schlichtweg zu wenig aus. Darum frage ich nun Euch.
> > 
> > Diese Vorgehensweise stelle ich mir vor:
> > 
> > * zuerst hinterlegt man gewisse Konfig-Files als Standard. Evtl. kann
> > man diese auch noch Rollen zuordnen, so dass das System weiss "diese
> > Konfig-File braucht nur eine Maschine, die in der Rolle Webserver ist".
> > 
> > * anschliessend definiert man pro Maschine Abweichungen vom Standard.
> > Bspw. andere Kernel-Module in der /usr/src/linux/.config. Diese
> > Abweichungen werden als Diffs o?. gespeichert.
> > Idealerweise werden diese Diffs auch Rollen zugordnet, so dass man bspw.
> > eine Rolle "alle Server mit NVIDIA-SATA-Controller" hat, die alle die
> > selbe Abweichung haben.
> > 
> > * jederzeit kann ich mir f?r eine bestimmte Maschine die aktuelle Konfig
> > bauen lassen - idealerweise wird diese per SSH auf Knopfdruck deployed.
> > 
> > * genial w?re ein Feature, bei der ich eine ge?nderte Datei (bspw. wegen
> > Update) wieder einlesen k?nnte und dann die ?nderungen zum Standard bzw.
> > zur Maschinen-Konfig sehe. Dann kann ich entscheiden welche ?nderung ich
> > in den Standard ?bernehmen will oder in die Abweichung der jeweiligen
> > Maschine, oder was ich verwerfen will.
> > 
> > Anschliessend baue ich die neuen Konfigs aus dem ge?nderten Standard und
> > rolle diese wieder aus.
> > 
> > So ein System w?re, da es auf Textdateien basiert, quasi v?llig
> > Distributionsunabh?ngig. Damit k?nnte ich meine httpd.conf, meine
> > Kernel-Konfig, mein LILO oder meine RAID-Konfiguration verwalten.
> > 
> > Was k?nnt ihr mir empfehlen / raten?
> > 
> > 
> > Vielen Dank f?r Eure Hilfe,
> > 
> > 
> > Manuel
> > -- 
> > Wikimedia CH - Verein zur F?rderung Freien Wissens
> > Lausanne, +41 (21) 34066-22 - www.wikimedia.ch
> > 
> > 
> > 
> > ------------------------------
> > 
> > Message: 2
> > Date: Mon, 30 Dec 2013 14:32:36 +0100 (CET)
> > From: Frank Doepper <fd at taz.de>
> > Subject: Re: [sage] Konfigurations-Datei-Management
> > To: Manuel Schneider <manuel.schneider at wikimedia.ch>
> > Cc: sage at guug.de
> > Message-ID: <alpine.DEB.2.02.1312301431160.16307 at griselda.edv.taz.de>
> > Content-Type: TEXT/PLAIN; charset=iso-8859-15
> > 
> > Am 30.12.13 um 14:28 schrieb Manuel Schneider:
> > 
> >> Sicherlich gib es das Gesuchte schon, aber die L?sungen, die ich mir
> >> angesehen habe (Puppet, Git) scheinen das nicht so zu liefern
> > 
> > Schau dir mal noch FAI? und Ansible? an.
> > 
> > Viele Gr??e,
> > Frank
> > 
> > ? http://fai-project.org/
> > ? http://www.ansibleworks.com/
> > 
> > 
> > 
> > ------------------------------
> > 
> > Message: 3
> > Date: Tue, 31 Dec 2013 01:52:23 +0100
> > From: "Julian H. Stacey" <jhs at berklix.com>
> > Subject: [sage] NTPD compromised for DDOS
> > To: sage at guug.de
> > Message-ID: <201312310052.rBV0qNXp063215 at fire.js.berklix.net>
> > 
> > FYI Created: 26 Dec 2013 | Updated: 26 Dec 2013 
> > http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks
> > 
> > See Also
> > https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
> > http://www.ntp.org/
> > 
> > Cheers,
> > Julian
> > -- 
> > Julian Stacey, BSD Unix Linux C Sys Eng Consultant, Munich http://berklix.com
> > Reply below not above, like a play script.  Indent old text with "> ".
> > Send plain text.  No quoted-printable, HTML, base64, multipart/alternative.
> > 
> > 
> > 
> > ------------------------------
> > 
> > Message: 4
> > Date: Tue, 31 Dec 2013 02:10:09 +0100
> > From: Simon H?nscheid  <mailinglisten at simonhoenscheid.de>
> > Subject: Re: [sage] Konfigurations-Datei-Management
> > To: sage at guug.de
> > Message-ID: <52C21971.6020306 at simonhoenscheid.de>
> > Content-Type: text/plain; charset=ISO-8859-15
> > 
> > 
> >> Hallo zusammen,
> > Hallo Manuel
> >> 
> >> Sicherlich gib es das Gesuchte schon, aber die L?sungen, die ich mir
> >> angesehen habe (Puppet, Git) scheinen das nicht so zu liefern - oder
> > ich kenne mich schlichtweg zu wenig aus. Darum frage ich nun Euch.
> > 
> > Puppet und git ist schonmal nicht verkehrt.
> >> 
> >> Diese Vorgehensweise stelle ich mir vor:
> >> 
> >> * zuerst hinterlegt man gewisse Konfig-Files als Standard. Evtl. kann
> >> man diese auch noch Rollen zuordnen, so dass das System weiss "diese
> >> Konfig-File braucht nur eine Maschine, die in der Rolle Webserver ist".
> >> 
> > Das kann Puppet zum Beispiel. Sehr fein modeliert ist das hier beschrieben:
> > http://www.craigdunn.org/2012/05/239/
> > 
> >> * anschliessend definiert man pro Maschine Abweichungen vom Standard.
> >> Bspw. andere Kernel-Module in der /usr/src/linux/.config. Diese
> >> Abweichungen werden als Diffs o?. gespeichert.
> >> Idealerweise werden diese Diffs auch Rollen zugordnet, so dass man
> > bspw. eine Rolle "alle Server mit NVIDIA-SATA-Controller" hat, die alle
> > die selbe Abweichung haben.
> > 
> > Das geht mit Puppet ohne weiteres. Entweder auf Basis von Rollen,
> > Facts(Betriebssystem, CPU, RAM, IP...) oder beliebigen anderen Bedingungen
> > 
> >> * jederzeit kann ich mir f?r eine bestimmte Maschine die aktuelle
> > Konfig bauen lassen - idealerweise wird diese per SSH auf Knopfdruck
> > deployed.
> > 
> > Ginge auch, entweder als Push oder Pull oder Dezentral
> >> 
> >> * genial w?re ein Feature, bei der ich eine ge?nderte Datei (bspw.
> > wegen Update) wieder einlesen k?nnte und dann die ?nderungen zum
> > Standard bzw. zur Maschinen-Konfig sehe. Dann kann ich entscheiden
> > welche ?nderung ich in den Standard ?bernehmen will oder in die
> > Abweichung der jeweiligen Maschine, oder was ich verwerfen will.
> > 
> > Puppet zeigt dir beim Run an was er ?ndern w?rde. Du kannst einen noop
> > Run machen, der zeigt dir die ?nderungen ohne diese auszurollen.
> > 
> >> Anschliessend baue ich die neuen Konfigs aus dem ge?nderten Standard
> > und rolle diese wieder aus.
> > 
> > Du hast git, ?nderungen sind damit nachvollziehbar.
> > 
> >> So ein System w?re, da es auf Textdateien basiert, quasi v?llig
> >> Distributionsunabh?ngig. Damit k?nnte ich meine httpd.conf, meine
> >> Kernel-Konfig, mein LILO oder meine RAID-Konfiguration verwalten.
> > 
> > 
> > Puppet kann eine Menge Distributionen und Systeme bediehnen, man muss
> > ihm nur manchmal ein wenig bei der Auswahl helfen ;)
> > 
> >> Was k?nnt ihr mir empfehlen / raten?
> > 
> > Ich kann dir empfehlen generell etwas zum konfigurieren zu nutzen was:
> > 
> > * Nicht gegen das Paketsystem arbeitet
> > * eine gute Community hat
> > * sich versionieren l?sst
> > * Skaliert
> > 
> > Puppet mag erstmal abschrecken, da man eine eigene Spache lernen muss
> > und sich ein wenig einarbeiten muss. Danach ist es aber grade in
> > Kombination mit Hiera sehr sauber und ?bersichtlich,
> > 
> > Ich hoffe das hilft dir ein wenig
> > Simon
> > 
> > 
> > 
> > 
> > 
> > ------------------------------
> > 
> > _______________________________________________
> > SAGE mailing list
> > SAGE at guug.de
> > http://lists.guug.de/mailman/listinfo/sage
> > 
> > 
> > End of SAGE Digest, Vol 84, Issue 4
> > ***********************************

> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> http://lists.guug.de/mailman/listinfo/sage


-- 
Patrick Ben Koetter
p at state-of-mind.de

More information about the SAGE mailing list