TL;DR : Comment s'assurer qu'une liste de mises à jour de paquets peut être faite de manière reproductible sur de nombreux serveurs, même si des mises à jour de sécurité plus récentes sont disponibles avant que la campagne Parcheando ne soit terminée ?
Dans une entreprise ayant des contraintes réglementaires, les mises à jour de sécurité des serveurs doivent être effectuées de manière reproductible : une liste de CVEs critiques est identifiée, conduisant à une liste de paquets à mettre à jour vers une version spécifique. Ces mises à jour doivent être appliquées sur de nombreux serveurs, du développement à la production en passant par le staging.
L'application de ces mises à jour peut prendre beaucoup de temps et, même si de nouvelles mises à jour de sécurité sont disponibles entre-temps, il est important de s'assurer que le même changement est effectué sur chaque serveur.
Je suppose que spécifier une version avec quelque chose comme yum update package-version ne fonctionnerait pas car les nouveaux paquets remplacent les anciens dans les dépôts CentOS (au moins pour les mises à jour de sécurité). Il se peut donc que nous n'appliquions pas toujours exactement les mêmes versions.
L'équipe des opérations veut utiliser Landesk, et a mis en place une copie des dépôts CentOS sur le réseau local (utilisée par chaque serveur au lieu des dépôts CentOS normaux), sur laquelle ils prévoient de faire une sorte de "snapshots" des paquets, dans des dépôts spécifiques horodatés (comme 'repo_xxx_20191019'). Afin d'appliquer les mises à jour de sécurité, ils prévoient de mettre à jour la configuration du dépôt de chaque serveur ciblé pour ajouter les dépôts horodatés et mettre à jour les paquets de cette manière.
Je suppose que cela pourrait fonctionner, mais y a-t-il des restrictions à prendre en compte ? Ou des moyens plus simples d'obtenir le même résultat ?
