大家好,
我希望构建一个集中式仪表板来跟踪补丁管理关键绩效指标来自我们的组织,包括工作站(Windows)和服务器(Linux/Windows)。
基本上,我主要想看看不符合最新补丁的端点百分比。
我们目前正在使用 SCCM/WSUS(Windows)和 Redhat Satellite(Linux)。
关于如何实现这一目标,有什么想法吗?
答案1
对于你的 Linux 系统,简短的回答是:反对 RHN卫星API。
更长的答案是,这很大程度上取决于你如何在 Satellite 中实施发布管理,以及你的工作流程勘误表(Red Hat 术语,表示错误修复和安全更新)。
如果您的组织遵循常规做法来克隆默认频道,那么您的系统将订阅这些频道。除非您实际管理勘误表,否则它们不会自动出现在克隆频道中。系统将显示完全修补,顺便说一句,符合您的 KPI,而实际上可能存在不可用的修补程序。
在这方面,Red Hat 可能已发布勘误表来修复安全问题,但它不是内部发布的,因此无法部署。据我所知,您无法报告如果将勘误表发布到所有克隆频道,将有多少系统受到影响。
第二件事是,您可能应该关注已应用/缺失的勘误表而不是 RPM 包,原因如下:
- 勘误表分为 3 类:产品增强、错误修复和安全更新(级别分为“中等”、“重要”和“严重”),您需要在报告中为它们设置相应的严重性级别
- 勘误表可以由多个 RPM 包组成
- 从安全角度来看,你希望看到脆弱性如此这般已解决,但 RHEL 5 上的补丁号 X 和 RHEL 6 上的版本 Y 不是 package-name.version
该 API 有两种方法: