我正在寻找一种方法来阻止使用Puppet对debian服务器进行更改。
我想要的是每次用户尝试进行更改时,例如安装包或更改权限,Puppet会阻止它并在其他位置发送通知。
它不是关于单个模块,而是所有服务器。我想阻止任何修改,即使是清单中没有描述的包。
这可能吗?
答案 0 :(得分:1)
Puppet旨在维护所有机器应遵循的一组标准 - 应安装的软件包,应安装的文件,文件内容等。每半小时一次,每台机器将根据这些标准进行检查并更新任何不匹配的内容。
Puppet不是入侵检测软件。 Puppet不是病毒扫描程序。木偶不是Tripwire。 Puppet不是chmod -w。
Puppet不会(直接)干扰用户活动。
答案 1 :(得分:0)
不,Puppet无法做到这一点。
答案 2 :(得分:0)
Puppet不会主动监控软件安装,配置更改等。相反,在您指定的频率上,它会将系统上管理的所有资源的状态与您指定的应该使用的资源的模型进行比较(并且应该不存在,以及如何配置它们。当发现差异时,它会修复它们。
如果您告诉Puppet您希望在给定计算机上安装的所有系统软件包,则Puppet 能够删除不在您告知的软件包中的软件包。 Puppet附带的工具可以帮助您根据机器的当前配置创建这样的列表。但是,它不能阻止具有足够权限的用户首先安装此类软件包 - 它只能在事后再次删除它们。
正确的解决方案是避免向您不信任的用户授予功能。一般来说,你不应该信任任何人。您可以通过各种方式限制用户功能,但一般来说,如果用户可以获得足够的权限来管理系统包,那么他们就拥有了该框。