Patchman

概述

Patchman 是一个基于 Django 的 Linux 系统补丁状态监控工具。Patchman 提供了一个 Web 界面，用于监控 Linux 主机可用的软件包更新。

Patchman 如何工作？

Patchman 客户端向 Patchman 服务器发送已安装软件包和启用的软件源列表。Patchman 服务器更新每个软件源的软件包列表，并确定哪些主机需要更新，以及这些更新是常规更新还是安全更新。Web 界面还提供了潜在问题的信息，例如安装的软件包不来自任何软件源。

可以对主机、软件包、软件源和操作系统进行筛选。例如，可以查找安装了某个特定版本软件包的主机，以及该软件包来自哪个软件源。

Patchman 不会在主机上安装更新包，它只确定并显示每个主机可用的更新。

yum、apt 和 zypper 插件可以在主机上安装或删除软件包时向 Patchman 服务器发送报告。

安装

有关安装选项，请参阅安装指南。

使用

Web 界面包含一个需要注意的项目仪表板，以及用于操作主机、软件源、软件包、操作系统和报告的各种页面。

要填充数据库，只需在一些主机上运行客户端：

$ patchman-client -s http://patchman.example.org

这应该提供一些初始数据供使用。

在服务器上，可以使用 patchman 命令行工具执行某些维护任务，例如处理从主机发送的报告、从网络下载软件源更新信息。运行 patchman -h 以了解使用方法：

$ sbin/patchman -h
用法：patchman [-h] [-f] [-q] [-r] [-R REPO] [-lr] [-lh] [-u] [-A] [-H HOST]
                [-p] [-c] [-d] [-n] [-a] [-D hostA hostB]

Patchman CLI 工具

可选参数：
  -h, --help            显示此帮助信息并退出
  -f, --force           忽略存储的校验和并强制刷新所有镜像
  -q, --quiet           安静模式（例如用于 cronjobs）
  -r, --refresh-repos   刷新软件源
  -R REPO, --repo REPO  仅对特定软件源执行操作（repo_id）
  -lr, --list-repos     列出所有软件源
  -lh, --list-hosts     列出所有主机
  -u, --host-updates    查找主机更新
  -A, --host-updates-alt
                        查找主机更新（替代算法，当存在大量同质主机时可能更快）
  -H HOST, --host HOST  仅对特定主机执行操作（fqdn）
  -p, --process-reports
                        处理待处理的报告
  -c, --clean-reports   仅保留最后三个报告
  -d, --dbcheck         执行一些健全性检查并清理未使用的数据库条目
  -n, --dns-checks      如果为该主机启用，执行反向 DNS 检查
  -a, --all             便捷标志，相当于 -r -A -p -c -d -n
  -D hostA hostB, --diff hostA hostB
                        以类似 diff 的输出显示两个主机之间的差异
  -e, --errata          从 https://cefs.steve-meier.de/ 下载 CentOS 勘误表

依赖项

服务器端依赖项

python3-django
python3-django-tagging
python3-django-extensions
python3-django-bootstrap3
python3-djangorestframework
python3-debian
python3-rpm
python3-progressbar
python3-lxml
python3-defusedxml
python3-requests
python3-colorama
python3-magic
python3-humanize

服务器可以选择使用 celery 异步处理主机发送的报告。

客户端依赖项

客户端依赖项保持最小化。需要 rpm 和 dpkg 来报告软件包，需要 yum、dnf、zypper 和/或 apt 来报告软件源。这些软件包通常在大多数系统上默认安装。 基于 deb 的操作系统在安装内核更新时并不总是会改变内核版本，因此可以选择安装 update-notifier-common 包来启用此功能。基于 rpm 的操作系统可以通过比较 uname -r 的输出和已安装的最高内核版本来判断是否需要重启以安装新内核，所以这些操作系统不需要额外的软件包。

概念

对大多数人来说，默认设置就足够了，但根据你的设置，可能需要进行一些初始工作来合理组织主机报告中发送的数据。以下解释可能会对此有所帮助。

有几个基本对象 - 主机、仓库、软件包、操作系统和报告。还有操作系统组（可选）和镜像。

主机

主机是单个主机，例如 test01.example.org。

操作系统

主机运行一个操作系统，例如 CentOS 7.7、Debian 10.1、Ubuntu 18.04。

软件包

软件包是安装在主机上或可从仓库镜像下载的包，例如 strace-4.8-11.el7.x86_64、grub2-tools-2.02-0.34.el7.centos.x86_64 等。

镜像

镜像是网上可用的软件包集合，例如 yum、yast 或 apt 仓库。

仓库

仓库是镜像的集合。通常所有镜像都包含相同的软件包。对于基于 Red Hat 的主机，仓库会自动将其镜像链接在一起。对于基于 Debian 的主机，你可能需要使用 Web 界面将构成仓库的所有镜像链接起来。这可能会减少查找更新所需的时间。仓库可以标记为安全或非安全。这对于 Debian 和 Ubuntu 仓库最有意义，因为安全更新通过安全仓库提供。对于 CentOS 安全更新，请参阅下面的勘误表部分。

报告

主机使用 patchman-client 创建报告。该报告被发送到 Patchman 服务器。报告包含主机的操作系统，以及主机上已安装的软件包和启用的仓库列表。Patchman 服务器处理并记录报告中包含的软件包和仓库列表。

操作系统组（可选）

操作系统组是操作系统的集合。例如，名为 "Ubuntu 18.04" 的操作系统组将包括以下操作系统：

Ubuntu 18.04.1
Ubuntu 18.04.2
Ubuntu 18.04.5

同样，名为 "CentOS 7" 的操作系统组将由以下操作系统组成：

CentOS 7.5
CentOS 7.7.1511

仓库可以与操作系统组或主机本身关联。如果为主机设置 use_host_repos 变量为 True，则只通过查看属于该主机的仓库来查找更新。这是默认行为，不需要配置操作系统组。

如果 use_host_repos 设置为 False，更新查找过程会查看主机操作系统所在的操作系统组，并使用该操作系统组的仓库来确定适用的更新。这在许多主机同质化的环境（例如云/集群环境）中很有用。

勘误表

CentOS 的勘误表可以从 https://cefs.steve-meier.de/ 下载。这些勘误表会被解析并存储在数据库中。如果软件包更新包含勘误表中的安全更新包，则该更新会被标记为安全更新。