Posted inLinux

Tự động cập nhật và quản lý bản vá bảo mật trên nhiều server Linux với Ansible và APT/YUM

Linux tutorial - IT technology blog
Linux tutorial - IT technology blog

Vấn đề thực tế: Ác mộng quản lý cập nhật thủ công trên nhiều server Linux

Nếu bạn đã từng quản lý vài con server Linux, chắc hẳn bạn biết cái cảm giác mỗi khi có thông báo về một lỗ hổng bảo mật nghiêm trọng (như Heartbleed, Shellshock ngày xưa, hay các CVE mới liên tục xuất hiện). Việc đầu tiên là phải chạy ngay vào từng server, gõ lệnh apt update && apt upgrade hoặc yum update. Một server thì dễ, hai server cũng tạm, nhưng khi số lượng lên đến 5, 10, hay thậm chí hàng chục server, đó thực sự là một cơn ác mộng.

Mình nhớ hồi mới vào nghề, chỉ quản lý có 3-4 con VPS thôi mà mỗi lần cập nhật là toát mồ hôi. Phải SSH vào từng con, chờ nó chạy xong, rồi kiểm tra xem có lỗi gì không. Có lần quên mất một con, hoặc chạy lệnh sai, hoặc đơn giản là tốn cả buổi chỉ để làm cái việc lặp đi lặp lại đó. Chưa kể, nếu bản vá đó yêu cầu reboot server, thì lại phải canh giờ downtime, rồi reboot từng con một. Cứ thế này thì còn thời gian đâu mà làm các việc khác, phải không?

Phân tích nguyên nhân: Tại sao việc cập nhật thủ công lại kém hiệu quả?

Vấn đề không chỉ nằm ở việc tốn thời gian, mà còn tiềm ẩn rất nhiều rủi ro khác:

  • Rủi ro bảo mật cao: Bỏ sót một server không được cập nhật có thể trở thành điểm yếu chết người cho toàn bộ hệ thống. Các kẻ tấn công luôn tìm kiếm những lỗ hổng đã được công bố nhưng chưa được vá.
  • Dễ mắc lỗi: Thao tác thủ công luôn có khả năng xảy ra sai sót, gõ nhầm lệnh, quên bước nào đó, hoặc áp dụng không đồng nhất giữa các server.
  • Tốn kém tài nguyên: Thời gian của kỹ sư IT là vàng. Thay vì dành hàng giờ để thực hiện những tác vụ lặp đi lặp lại, chúng ta có thể tập trung vào những công việc có giá trị hơn.
  • Khó mở rộng: Khi hệ thống phát triển, số lượng server tăng lên, việc quản lý thủ công sẽ trở nên bất khả thi.
  • Thiếu tính nhất quán: Mỗi server có thể có các gói phần mềm khác nhau, phiên bản khác nhau do việc cập nhật không đồng bộ.

Các cách giải quyết vấn đề quản lý bản vá

Trước khi đến với giải pháp tối ưu, chúng ta hãy điểm qua một vài cách tiếp cận khác:

1. Cập nhật thủ công từng server (Cách tệ nhất)

Như mình đã nói ở trên, đây là cách cơ bản nhất và cũng là tệ nhất khi bạn có nhiều server. Nó chỉ phù hợp khi bạn có 1-2 server và rất ít khi cần cập nhật. Chỉ cần SSH vào và chạy:


# Đối với Debian/Ubuntu
sudo apt update
sudo apt upgrade -y
sudo apt autoremove -y

# Đối với RHEL/CentOS/AlmaLinux
sudo yum update -y
# Hoặc với các bản mới hơn
sudo dnf update -y

Bạn sẽ phải lặp lại các lệnh này cho mỗi server. Quá tốn thời gian và dễ sai sót.

2. Sử dụng script shell đơn giản (Khá hơn một chút)

Bạn có thể viết một script shell để lặp qua danh sách các IP hoặc hostname và chạy lệnh cập nhật. Ví dụ:


#!/bin/bash

SERVERS=("server1.example.com" "server2.example.com" "192.168.1.10" "192.168.1.11")

for server in "${SERVERS[@]}"
do
  echo "=== Cập nhật trên $server ==="
  ssh "$server" 'sudo apt update && sudo apt upgrade -y && sudo apt autoremove -y'
  if [ $? -eq 0 ]; then
    echo "Cập nhật thành công trên $server"
  else
    echo "Cập nhật thất bại trên $server"
  fi
done

Cách này tốt hơn là gõ tay từng lệnh, nhưng vẫn còn nhiều hạn chế:

  • Không có khả năng kiểm tra trạng thái: Script chỉ chạy lệnh và kiểm tra mã thoát, không biết được gói nào được cập nhật, có lỗi gì cụ thể không.
  • Khó xử lý lỗi: Nếu một server gặp lỗi, script có thể dừng hoặc tiếp tục chạy mà không có cơ chế báo cáo rõ ràng.
  • Thiếu tính Idempotent: Nếu bạn chạy script nhiều lần, nó sẽ lặp lại các bước ngay cả khi không có gì thay đổi, gây lãng phí tài nguyên và không hiệu quả.
  • Không có cơ chế rollback: Nếu một bản cập nhật gây ra lỗi, không có cách nào để tự động quay lại trạng thái trước đó.

3. Sử dụng công cụ quản lý cấu hình (Ansible, Puppet, Chef, SaltStack)

Đây là cách tiếp cận chuyên nghiệp và hiệu quả nhất. Các công cụ này được thiết kế để quản lý cấu hình và tự động hóa tác vụ trên hàng loạt server một cách đồng bộ. Trong số đó, mình thấy Ansible là một lựa chọn tuyệt vời cho cả người mới bắt đầu lẫn những hệ thống lớn, bởi vì nó agentless (không cần cài phần mềm đặc biệt trên các server được quản lý) và sử dụng SSH, thứ mà server Linux nào cũng có.

Cách tốt nhất: Tự động cập nhật bản vá với Ansible

Ansible cho phép chúng ta định nghĩa trạng thái mong muốn của hệ thống (declarative) thông qua các Playbook. Nó sẽ đảm bảo các server đạt được trạng thái đó một cách hiệu quả và có thể lặp lại (idempotent).

1. Chuẩn bị môi trường Ansible

Đầu tiên, bạn cần cài đặt Ansible trên máy điều khiển (control node) của mình. Đây là máy mà bạn sẽ chạy các lệnh Ansible từ đó.


# Trên Ubuntu/Debian
sudo apt update
sudo apt install ansible -y

# Trên RHEL/CentOS/AlmaLinux
sudo yum install epel-release -y
sudo yum install ansible -y
# Hoặc với DNF
sudo dnf install ansible -y

Đảm bảo bạn có thể SSH vào các server mục tiêu mà không cần nhập mật khẩu (sử dụng SSH key). Nếu chưa, bạn có thể tạo SSH key và copy lên các server:


ssh-keygen
ssh-copy-id user@your_server_ip

2. Cấu hình Inventory

Inventory là nơi bạn định nghĩa danh sách các server mà Ansible sẽ quản lý. Bạn có thể tạo một file inventory.ini:


[webservers]
web1.example.com
web2.example.com

[databases]
db1.example.com

[all_linux_servers:children]
webservers
databases

[all_linux_servers:vars]
ansible_user=your_ssh_username

Ở đây, your_ssh_username là user mà bạn dùng để SSH vào các server đó. Bạn có thể đặt tên nhóm server tùy ý (ví dụ: webservers, databases) hoặc nhóm tất cả lại thành all_linux_servers.

3. Viết Ansible Playbook để cập nhật bản vá

Giờ là lúc viết Playbook. Mình sẽ tạo một file update_servers.yml. Playbook này sẽ thực hiện các bước sau:

  • Cập nhật danh sách gói (apt update hoặc yum check-update).
  • Nâng cấp các gói đã cài đặt.
  • Xóa các gói không còn cần thiết.
  • Kiểm tra xem có cần khởi động lại server hay không và thực hiện nếu cần.

Lưu ý quan trọng: Sau 3 năm quản lý hơn 10 VPS chạy Linux, mình rút ra kinh nghiệm là nên kiểm tra kỹ trước khi áp dụng lên production. Luôn có một môi trường staging hoặc ít nhất là một server “canary” để thử nghiệm playbook cập nhật trước. Đừng bao giờ chạy apt upgrade -y hay yum update -y một cách mù quáng trên production mà không có kịch bản rollback hoặc snapshot.


---
- name: Cập nhật bản vá bảo mật và các gói trên server Linux
  hosts: all_linux_servers
  become: yes # Chạy với quyền sudo
  gather_facts: yes # Thu thập thông tin về hệ điều hành

  vars:
    reboot_required_file: "/var/run/reboot-required"

  tasks:
    - name: Cập nhật cache gói cho Debian/Ubuntu
      ansible.builtin.apt:
        update_cache: yes
        cache_valid_time: 3600 # Cache hợp lệ trong 1 giờ
      when: ansible_os_family == "Debian"

    - name: Cập nhật cache gói cho RHEL/CentOS/AlmaLinux
      ansible.builtin.yum:
        disable_gpg_check: yes # Tùy chọn, cân nhắc kỹ khi dùng trên production
        update_cache: yes
      when: ansible_os_family == "RedHat"

    - name: Nâng cấp tất cả các gói trên Debian/Ubuntu
      ansible.builtin.apt:
        upgrade: dist
        autoremove: yes
      when: ansible_os_family == "Debian"
      register: apt_update_result

    - name: Nâng cấp tất cả các gói trên RHEL/CentOS/AlmaLinux
      ansible.builtin.yum:
        name: "*"
        state: latest
      when: ansible_os_family == "RedHat"
      register: yum_update_result

    - name: Kiểm tra xem có cần khởi động lại không (Debian/Ubuntu)
      ansible.builtin.stat:
        path: "{{ reboot_required_file }}"
      register: reboot_required_check
      when: ansible_os_family == "Debian" and (apt_update_result.changed or yum_update_result.changed)

    - name: Đặt trạng thái cần reboot nếu file tồn tại (Debian/Ubuntu)
      ansible.builtin.set_fact:
        needs_reboot: true
      when: ansible_os_family == "Debian" and reboot_required_check.stat.exists

    - name: Kiểm tra xem có cần khởi động lại không (RHEL/CentOS/AlmaLinux)
      ansible.builtin.command: needs-restarting -r
      register: rhel_reboot_check
      changed_when: rhel_reboot_check.rc != 0
      failed_when: rhel_reboot_check.rc == 2 # rc=2 nghĩa là lỗi, rc=0 hoặc 1 là OK
      when: ansible_os_family == "RedHat" and (apt_update_result.changed or yum_update_result.result.changed)
      ignore_errors: yes # Bỏ qua lỗi nếu lệnh needs-restarting không tồn tại

    - name: Đặt trạng thái cần reboot nếu lệnh needs-restarting báo cần (RHEL/CentOS/AlmaLinux)
      ansible.builtin.set_fact:
        needs_reboot: true
      when: ansible_os_family == "RedHat" and rhel_reboot_check.rc == 1

  handlers:
    - name: Khởi động lại server
      ansible.builtin.reboot:
        reboot_timeout: 600 # Chờ tối đa 10 phút để server khởi động lại
      listen: "reboot server"
      when: needs_reboot | default(false)

  post_tasks:
    - name: Kích hoạt handler reboot nếu cần
      ansible.builtin.meta: flush_handlers
      when: needs_reboot | default(false)

Giải thích Playbook:

  • hosts: all_linux_servers: Playbook này sẽ chạy trên tất cả các server trong nhóm all_linux_servers mà chúng ta đã định nghĩa trong inventory.
  • become: yes: Đảm bảo các lệnh được chạy với quyền root (sudo).
  • gather_facts: yes: Ansible sẽ thu thập thông tin về các server (như hệ điều hành, phiên bản kernel, v.v.). Điều này rất quan trọng để chúng ta có thể sử dụng ansible_os_family để phân biệt giữa Debian/Ubuntu và RHEL/CentOS/AlmaLinux.
  • when: ansible_os_family == "Debian" hoặc == "RedHat": Đây là điều kiện để các task chỉ chạy trên đúng loại hệ điều hành.
  • aptyum modules: Các module chuyên dụng của Ansible để quản lý gói phần mềm. Chúng có tính idempotent, nghĩa là bạn có thể chạy nhiều lần mà không gây ra tác dụng phụ không mong muốn.
  • register: Lưu kết quả của một task vào một biến. Chúng ta dùng nó để kiểm tra xem có gói nào được cập nhật hay không.
  • reboot_required_fileneeds-restarting -r: Đây là cách kiểm tra xem kernel hoặc các thư viện quan trọng có được cập nhật và cần khởi động lại hệ thống hay không.
  • handlers: Là các tác vụ chỉ chạy khi được notify hoặc listen. Trong trường hợp này, handler "reboot server" sẽ được kích hoạt nếu biến needs_reboottrue.
  • post_tasksmeta: flush_handlers: Đảm bảo rằng tất cả các task đã chạy xong trước khi handler (ví dụ: reboot) được kích hoạt. Điều này quan trọng để tránh reboot giữa chừng.

4. Chạy Playbook

Sau khi đã có file inventory.iniupdate_servers.yml, bạn chỉ cần chạy lệnh sau từ máy điều khiển:


ansible-playbook -i inventory.ini update_servers.yml

Ansible sẽ kết nối đến từng server, thực hiện các bước cập nhật, và báo cáo kết quả chi tiết. Bạn sẽ thấy server nào được cập nhật, server nào không cần, và server nào đã khởi động lại.

Lợi ích của việc dùng Ansible để quản lý bản vá

Áp dụng Ansible vào quy trình cập nhật bản vá mang lại nhiều lợi ích rõ rệt:

  • Tiết kiệm thời gian và công sức: Tự động hóa hoàn toàn quy trình, giải phóng bạn khỏi các tác vụ lặp đi lặp lại.
  • Tăng cường bảo mật: Đảm bảo tất cả các server luôn được cập nhật các bản vá bảo mật mới nhất, giảm thiểu bề mặt tấn công.
  • Tính nhất quán cao: Đảm bảo tất cả các server đều ở trạng thái mong muốn, tránh tình trạng “snowflake servers” (mỗi server một kiểu).
  • Khả năng mở rộng: Dễ dàng thêm hoặc bớt server vào inventory mà không cần thay đổi playbook.
  • Dễ đọc và dễ hiểu: Playbook được viết bằng YAML, một ngôn ngữ dễ đọc, giúp bạn dễ dàng theo dõi và chỉnh sửa quy trình.
  • Idempotent: Chạy playbook nhiều lần sẽ cho cùng một kết quả, Ansible chỉ thực hiện thay đổi khi cần thiết.

Lời kết

Việc tự động hóa cập nhật và quản lý bản vá bảo mật không còn là một lựa chọn mà là một yêu cầu bắt buộc trong môi trường IT hiện đại. Với Ansible, bạn có một công cụ mạnh mẽ, linh hoạt và dễ sử dụng để biến ác mộng quản lý server thành một quy trình tự động, hiệu quả và an toàn. Hãy bắt đầu áp dụng nó ngay hôm nay để hệ thống của bạn luôn được bảo vệ và hoạt động trơn tru nhé!

Share:
Tags: