techtalkthursday 27.10.2016: upd89.org - orchestrierung von security-updates für...
TRANSCRIPT
![Page 1: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/1.jpg)
Orchestrierung von Security-Updates
für Linux-Serversysteme
Bachelorarbeit HSR, FS 2016Ueli Bosshard, Philipp Christen a
![Page 2: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/2.jpg)
Team● Ueli Bosshard
○ Informatiker
○ > 15 Jahre Erfahrung in der Systemtechnik
○ Linux, Web-Hosting, Security
○ Universität Zürich
● Philipp Christen○ Frontend-Developer
○ > 5 Jahre Erfahrung in der Web-Entwicklung
○ Javascript
○ SRF
2
![Page 3: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/3.jpg)
Agenda● Anforderungen an ein Update-Management
● Vorstellung von upd89
● Update-Management mit upd89
● Demo
● Sicherheit bei einer verteilten Lösung
● Entwicklung mit Rails
3
![Page 4: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/4.jpg)
Updatemanagement bisher● Wenig Übersicht
● ~ 1500 Virtual Servers
● Update der Systeme mittels
Bash-Script
● Aufwand: ~ 1 Tag pro Woche
4
![Page 5: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/5.jpg)
Anforderungen
5
“Orchestrierung von Security-Updates für Linux-Serversysteme”
![Page 6: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/6.jpg)
Anforderungen● Reporting
● Nachvollziehbarkeit
● Regeln & Abhängigkeiten
● Open-Source
● Sicherheit
● Qualität
6
● Technologien○ Web-Applikation
○ Rails, Ruby
○ PostgreSQL
○ Ubuntu 12.04/14.04
![Page 7: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/7.jpg)
Updatemanagement mit upd89● Automatisierte Installation
● Web-Applikation
● Reduzierter Aufwand
● Gesammelte Informationen
7
![Page 8: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/8.jpg)
Komponenten
8
AgentLäuft auf jedem verwalteten Server, meldet und installiert Updates
Control CenterZentrale Komponente, bietet Benutzer Übersicht und Verwaltungsmöglichkeiten
![Page 9: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/9.jpg)
Arbeitsablauf
9
TaskSammlung der zu installierenden Updates für ein einzelnes System
JobAuftrag des Benutzers, enthält einen oder mehrere Tasks
J
T
T T
![Page 10: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/10.jpg)
API - Registrierung
10
AgentControl Center
Registrierung
Status
Name, OS, URN, Adresse
![Page 11: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/11.jpg)
Update-Vorgang1. Agent sammelt und sendet
verfügbare Updates
2. Control Center zeigt Update an
3. Benutzer löst Update aus
4. Agent installiert Update
5. Agent meldet Ergebnis
12, 3
4
5
11
![Page 12: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/12.jpg)
API - Inkrementelle Vorgänge
12
AgentControl Center
Verfügbare Updates
Status, Bekannte Hashes
Anzahl Updates, Hash-Liste
![Page 13: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/13.jpg)
API - Inkrementelle Vorgänge
13
AgentControl Center
Verfügbare Updates
Status
Anzahl Updates, Paket-Liste
![Page 15: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/15.jpg)
1. Zertifikat des Control Centers prüfen2. Vertraulichkeit des Agents feststellen3. Serverzertifikat prüfen4. Benutzer aufgrund von Passwort
vertrauen
Sicherheit
15
![Page 16: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/16.jpg)
Sicherheit in der API
16
● Eigene CA (Vertrauensbasis)
● Gegenseite Authentisierung
![Page 17: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/17.jpg)
Gems (Auswahl)
17
will_paginate Pagination von ActiveRecord-Einträgen
filterrific Unterstützung für Filter und Sortiermöglichkeiten.
sucker_punch Asynchrone Hintergrund-Aufträge
faraday Bibliothek für HTTP-Zugriffe mit HTTPS-Support.
sorcery Benutzer-Authentifizierung und Login-Funktionalität.
cancancan Berechtigungen auf Aktions-Ebene (CRUD).
![Page 18: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/18.jpg)
Gems (Visuell)
18
will_paginate
filterrific
font_awesome_rails
![Page 19: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/19.jpg)
Herausforderungen● Concurrency
● Administrate o.Ä.
● Zeitnahe Informationsreplikation
● Balance Redundanz <-> Traffic-Minimierung
● apt-Anbindung mit Ruby
19
![Page 20: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/20.jpg)
Fragen
?20
![Page 21: TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates für Linux-Serversysteme](https://reader031.vdocuments.mx/reader031/viewer/2022021918/58a39b0e1a28abb1348b5cad/html5/thumbnails/21.jpg)
Danke! Und immer schön updaten!
21