Automatische Patchinstallation auf SUN-Rechnern

SUN bietet einen kostenpflichtigen Dienst zur automatischen Installation von Patches auf seine Rechner. Der BVB verwendet eine kostenlose Variante davon, die auf zwei Skripten beruht, die aus dem Internet stammen, nämlich CheckPatches und GetApplyPatch. Diese Skripten lassen sich natürlich auch von Hand aufrufen, was man zu Beginn durchaus einige Male machen sollte, um ein Gefühl dafür zu bekommen, was eigentlich passiert.

Auch den kompletten Patchupdate-Ablauf kann man von Hand starten: /usr/sbin/CheckPatches | /usr/sbin/GetApplyPatch -b

Der Schalter -b bedeutet "Batch-Modus", es werden dann keine Rückfragen gestellt.

Wenn Sie das ganze als cron-Job aufsetzen wollen, brauchen Sie noch ein Über-Skript, das bei uns einfach patch heißt und folgende zwei Zeilen zum Inhalt hat:

/usr/sbin/CheckPatches | /usr/sbin/GetApplyPatch -b

echo `date` >> /var/adm/log/patch.log

Dabei ist zu beachten, daß der SUN-Server, der die Patches und das zugehörige Expertensystem bereithält, nicht zu jeder Tageszeit gut erreichbar ist. Wir haben es so gemacht, daß die Updates per cron jeweils in der Nacht von Dienstag auf Mittwoch etwa gegen 3 oder 4 Uhr (je nach Rechner etwas unterschiedlich) gestartet werden.


Hier nun eine Schritt-für-Schritt-Anleitung zum Aufbau des automatischen Patch-Updates:

  1. Befördern Sie die drei Skripte beispielsweise in den Ordner /usr/sbin
  2. Vergeben Sie Ausführ-Rechte für alle drei Skripte
  3. Stellen Sie eine leere Datei /var/adm/log/patch.log bereit
  4. Tragen Sie in die crontab etwa folgendes ein: 20 3 * * 3 /usr/sbin/patch
  5. Rebooten Sie den Rechner nach der Patch-Installation (siehe auch "Risiken und Nebenwirkungen")
  6. Denken Sie daran, die ftp-Zugriffe, die die Skripten ausführen, im Firewall freizugeben. Ziel ist sunsolve.sun.com

Risiken und Nebenwirkungen:

1. Zu jedem Patch gibt es von SUN eine umfangreiche Dokumentation, die man auch einsehen kann. Die für Sie interessanten Patch-Nummern bekommen Sie durch das Skript CheckPatches, das eine entsprechende, für Ihren Rechner angepaßte Liste liefert.

Einige Patches erfordern einen Reboot, außerdem gibt es jeweils eine umfangreiche Liste von Abhängigkeiten. Allein damit, das alles vorher zu lesen und zu kontrollieren, könnte man eine ganze Administrator-Stelle ausfüllen. Wir verlassen uns daher auf das Expertensystem und die Eigen-Intelligenz der Patches: wenn sie ihre Voraussetzungen nicht vorfinden, weil beispielsweise die entsprechende Hardware gar nicht vorhanden ist, bricht die Installation einfach ab, und der nächste Patch kommt an die Reihe. Außerdem werden sämtliche SUN-Rechner bei uns Mittwochs Morgens gegen 7 Uhr rebootet.

2. Mit diesem im wesentlichen unbeaufsichtigten Verfahren haben wir bisher gute Erfahrungen gemacht, mit einer einzigen Ausnahme: auf einem Rechner mit Solaris 2.6 hatten wir eine neuere sendmail-Version installiert, um kein offenes Relay auf diesem Rechner zu haben. Leider gehörte zu dem alten Solaris-Stand aber auch ein alter sendmail-Stand, und eines Tages wurde durch die automatische Patch-Installation das neue sendmail wieder durch das alte ersetzt. Der Rechner war dann eine Zeitlang ein offenes Relay ...

Dieses System wurde daraufhin auf Solaris 2.8 hochgerüstet.

3. Es ist nicht bekannt, wie lange SUN diese Art der Zugriffe noch zuläßt.

4. Vor längerer Zeit bekamen wir von irgendeinem unserer Software-Lieferanten die Auskunft, daß sie keine Garantie dafür übernähmen, daß ihre Software nach einem solchen Update überhaupt noch läuft. Nun, der BVB übernimmt dafür auch keine Garantie, daher sollten Sie Ihre Rechner von Zeit zu Zeit komplett sichern.

5. patch enthält eine Anweisung, einen kurzen Eintrag in eine log-Datei zu machen. Die Patches selber schreiben eifrig EMails und berichten ausführlich, ob sie sich installieren konnten oder nicht und wenn nein, warum nicht.

Erstellt am 26.1.2004. Letzte Änderung: 27.1.2004

Ansprechpartner:
Herr Hammann, 089/28638-2663, hammann@bsb-muenchen.de

Nach oben