PATCH MANAGEMENT · ON-PREM · LINUX & WINDOWS

Централизованное управление обновлениями

LSUS — корпоративная система управления обновлениями (patch management) для рабочих станций и серверов Linux и Windows.

Единая точка контроля над смешанным парком: Astra Linux, RedOS, Альт, Debian, Ubuntu, AlmaLinux, CentOS Stream и Windows — с гибкими политиками, тестированием перед внедрением и работой в air-gapped средах.

9 семейств ОС
3 уровня архитектуры
Air-gapped / Офлайн

Контролируемое внедрение

Тестирование обновлений перед массовым развёртыванием, каналы testing → stable, чеклисты и итерации — снижение рисков массовых сбоев до минимума.

Работа в любых условиях

От открытых сетей до полностью изолированных (air-gapped) сред, включая офлайн-импорт пакетов из ISO-образов.

Многоуровневая доставка

Edge → Master → Site → клиенты: обновления доходят до каждой машины без перегрузки каналов. Клиенты могут быть связаны одновременно с Master и Site.

Безопасность по умолчанию

HTTPS на всех уровнях, ролевая модель доступа RBAC (8 ролей), интеграция с LDAP и Kerberos, журнал аудита всех действий.

Поддерживаемые платформы

Один парк — множество операционных систем

LSUS покрывает типичный корпоративный и госсекторный ландшафт: отечественные дистрибутивы, популярные DEB/RPM-семейства и Windows. Для каждого семейства ОС — свои политики, репозитории, опции sources и агент с нативным пакетным менеджером.

Отечественные ОС

Реестр и импортозамещение

  • APTAstra Linux — политики ОС, extended/main, LVM-снапшоты
  • DNFRedOS — репозитории os/updates, политики DNF
  • RPMАльт Линукс — APT-RPM, classic-репозитории, OVAL X-SOFT

Мировые Linux

DEB и RPM экосистемы

  • APTDebian, Ubuntu, Kubuntu — main/updates/security, типовые линейки
  • DNFAlmaLinux, CentOS Stream — BaseOS, AppStream, CRB
  • Зеркала Edge, локальные репозитории и политики привязаны к семейству ОС — один Master управляет всем парком

Windows

Рабочие станции и серверы

  • Агент на .NET: сканирование через Windows Update API и офлайн-каталог KB
  • Каталог KB, MSU-пакеты, pending reboot, политики обновлений Windows
  • Одобрения KB на уровне хоста, группы и глобально, install batches и кампании

Три пакетных бэкенда — один процесс обновлений

Клиент Linux автоматически определяет дистрибутив и применяет обновления через APT, DNF/YUM или APT-RPM. Политики, hold-листы, расписания и отчёты работают одинаково для всех семейств ОС.

APT (deb) DNF / YUM APT-RPM Windows Update
Возможности платформы

13 функциональных модулей

LSUS решает ключевую проблему: как обеспечить своевременное и безопасное обновление всего парка машин, не теряя контроль над процессом. Вместо ручного обновления каждого сервера и рабочей станции — единая точка управления с гибкими политиками, тестированием, умной доставкой пакетов, конфигурациями на базе Ansible и встроенным AI-ассистентом.

1

Управление хостами

  • Авторегистрация по SRV DNS
  • Heartbeat и LDAP-синхронизация
  • Группы хостов и автоназначение
  • Отчёты об обновлениях
2

Политики обновлений

  • 5 типов: расписание, репо, hold, ОС, клиент
  • Приоритеты и иерархия (global → OS → group)
  • 4 режима управления sources.list
  • Недельное расписание с окнами установки
3

Репозитории и доставка

  • 8 семейств Linux + Windows
  • APT, DNF/YUM, APT-RPM форматы
  • Локальные и внешние репозитории
  • Импорт обновлений из ISO-образов
  • Каналы testing → stable → archive
4

Тестирование изменений

  • Области, команды и итерации
  • Чеклисты и фокус-группы
  • Автосоздание итераций из testing
  • Решение о promote в stable + PDF-акты
5

OVAL и анализ пакетов

  • 6 источников OVAL (Debian, RH, ALT, Ubuntu, SUSE, Oracle)
  • Сопоставление пакетов с CVE
  • Массовое сканирование хостов
  • dpkg, rpm и Windows платформы
6

Управление USB

  • Инвентаризация (vendor/product/serial)
  • Регистрация устройств и заявки
  • Журнал событий подключения
  • Правила доступа и блокировка
7

Windows Updates (KB)

  • Каталог KB и офлайн-сканирование
  • Одобрения (host/group/global)
  • Кампании и install batches
  • Репликация MSU и кэширование
8

Отчёты и аналитика

  • Сводка по обновлениям и хостам
  • Распределение по ОС
  • История обновлений и compliance
  • Графики и визуализация
9

Локальные репозитории и загрузка из ISO

LSUS позволяет создавать локальные репозитории внутри контура организации и использовать их как собственные доверенные источники обновлений. Поддержка импорта пакетов напрямую из ISO-образов для полностью изолированных сред.

  • Создание локальных репозиториев для внутреннего распространения пакетов
  • Импорт пакетов и обновлений из ISO-образов (копирование структуры или извлечение)
  • Каналы testing, stable, archive и контролируемый перевод между стадиями
  • Единое управление составом репозиториев и версиями внутри организации
10

Edge, умная репликация и прокси-кэширование

Платформа оптимизирует доставку обновлений в филиалы и защищённые сегменты сети, снижая нагрузку на каналы связи и ускоряя выдачу пакетов клиентам. Модель Edge → Master → Site, клиенты могут работать с Master и Site одновременно.

  • Edge-сервер для безопасной публикации обновлений через DMZ
  • Умная репликация только нужных репозиториев и данных на площадки
  • Прокси-кэширование для повторного использования уже загруженных пакетов
  • Распределение обновлений для филиалов и изолированных сегментов
11

Конфигурации и compliance

Декларативное управление конфигурацией и соответствием (compliance) для Linux и Windows через локальный запуск плейбуков. Графический конструктор политик в стиле групповых политик ADMX/GPO генерирует YAML (Ansible) и PowerShell без погружения в код.

  • Конструктор политик ADMX/GPO: реестр Windows, UAC, Defender, firewall, sshd, sysctl — политики с триадой enabled/disabled/not configured
  • Управление конфигурациями Windows: импорт ADMX-шаблонов, генерация PowerShell, дистрибуция ПО
  • Карта соответствия: EDR/AV, sshd, sysctl, firewall, auditd, NTP по каждому хосту
  • Pull-модель (без входящих портов), версии плейбуков с Ed25519-подписью, Vault-учётные данные
12

AI-ассистент

Встроенный ассистент на базе LLM: ежедневный дайджест состояния парка, разбор прогонов Ansible, черновики плейбуков и диагностика хостов. Локальный inference для изолированных контуров.

  • Провайдеры: Ollama (локально), GigaChat, Yandex AI Studio
  • Ежедневный дайджест, разбор прогонов и черновики плейбуков
  • Импорт моделей .tar.gz в закрытый контур через UI
  • Опциональный агентный слой OpenClaw, GPU-ускорение
13

Экспорт в SIEM

Передача событий системы во внешние SIEM-системы и коллекторы логов для корпоративного мониторинга безопасности и соответствия регуляторам.

  • Syslog RFC 5424 (UDP/TCP/TLS) и HTTP webhook
  • Гранулярные категории: аудит, безопасность, доступ
  • Буферизация очереди и авто-replay при восстановлении
  • Совместимость с MaxPatrol, KUMA, Splunk, rsyslog
ПОЧЕМУ ВЫБИРАЮТ LSUS

Ключевые преимущества

LSUS решает ключевую проблему организаций: как обеспечить своевременное и безопасное обновление смешанного парка Linux и Windows, не теряя контроль. Платформа спроектирована для работы в любых сетевых условиях — от открытых сетей до полностью изолированных (air-gapped) сред, с поддержкой отечественных и мировых дистрибутивов из одной консоли.

Единая точка управления

Все обновления, политики, репозитории и отчёты — в одном веб-интерфейсе. Централизованный контроль над всем парком машин без разрозненных инструментов.

Многоуровневая архитектура

Edge → Master → Site: гибкое масштабирование от одного офиса до распределённой сети филиалов. Клиенты могут подключаться к Master и Site одновременно для отказоустойчивости.

Air-gapped / Офлайн

Полноценная работа в замкнутых и изолированных от интернета средах. Импорт обновлений из ISO-образов, офлайн-развёртывание через Docker.

Безопасность по умолчанию

HTTPS на всех уровнях, RBAC-роли (от viewer до admin), LDAP/Kerberos-аутентификация, журнал аудита действий и подпись пакетов.

Тестирование перед внедрением

Каналы testing/stable, итерации тестирования, чеклисты и пошаговая проверка. Снижение рисков массовых сбоев до минимума.

Умная репликация и кэш

Реплицируются только нужные репозитории. Прокси-кэширование ускоряет повторную выдачу пакетов и экономит канал связи.

РОСПАТЕНТ
Свид. №2026615730 от 27.02.2026
10 модулей
Хосты, политики, репо, тесты, OVAL, USB, KB
9 семейств ОС
Astra, RedOS, Альт, Debian, Ubuntu, AlmaLinux…
8 ролей RBAC
От viewer до admin, гибкие права
Гибкое развёртывание
Docker, DEB/RPM, офлайн-образы
Архитектура решения

Надёжная многоуровневая архитектура

Многоуровневая модель доставки обновлений: Edge (DMZ) загружает из интернета → Master управляет политиками → Site кэширует для филиалов → Клиенты получают обновления. Клиенты могут быть подключены к Master и Site одновременно.

1

Edge-сервер (DMZ)

Пограничный сервер для загрузки обновлений из интернета и безопасной публикации клиентам без прямого доступа во внутреннюю сеть. Антивирусная проверка, зеркала APT/DNF.

2

Master-сервер

Центр управления: политики, каталог репозиториев, OVAL-источники, пользователи и RBAC. Веб-интерфейс администратора, API, отчёты. Клиенты могут подключаться напрямую.

3

Site (Площадки)

Локальный кэш обновлений, прокси-кэширование и умная репликация нужных репозиториев для филиалов. Снижает нагрузку на Master и каналы связи. Клиенты могут работать с Master и Site одновременно.

Технологический стек

Python 3 & Flask
PostgreSQL 15
Docker / Podman
9 семейств ОС
Debian (slim)
LDAP / Kerberos
Готовые сценарии развёртывания
  • Docker Compose для быстрого старта
  • DEB/RPM пакеты и Docker для всех поддерживаемых Linux
  • Офлайн-установка в изолированных средах
Клиентские приложения

Агенты для любых платформ

Нативные агенты для Linux (Astra, RedOS, Альт, Debian, Ubuntu, Kubuntu, AlmaLinux, CentOS Stream) и Windows. Каждый агент работает как системный сервис: регистрирует машину, получает политики, проверяет обновления и применяет их строго по расписанию.

lsus-client (Linux)

Системный сервис (systemd + D-Bus). Авторегистрация, политики и установка через APT, DNF/YUM или APT-RPM — в зависимости от дистрибутива. Dry-run, LVM-снапшоты (Astra), hold-листы.

lsus-client (Windows)

Windows Service на .NET. Сканирование через Windows Update API и офлайн-каталог KB, установка MSU-пакетов через WUSA. Поддержка pending reboot и автообновления агента.

GUI-клиент (Linux)

Графическая оболочка на PyQt5. Иконка в системном трее, окно планирования обновлений, уведомления. Подключается к сервису lsus-client через D-Bus.

lsus-usb-control

Служба мониторинга USB-событий на Linux-хостах. Отслеживание подключений через udev, создание правил доступа, отправка событий на Master-сервер.

OVAL-источники

Публичные источники OVAL-данных

LSUS использует публичные описания безопасности и помогает сопоставлять их с установленными пакетами и доступными обновлениями. Функциональность предназначена для анализа состава пакетов и обновлений по открытым данным.

В списке отображаются общеизвестные публичные OVAL-источники. Конкретный перечень подключаемых источников определяется политикой эксплуатации, доступностью данных и совместимостью с используемыми дистрибутивами.
Галерея интерфейса

Интерфейс системы

Скриншоты веб-интерфейсов Master, Site и Edge. Выберите сервер, затем категорию. Нажмите на карточку для полноэкранного просмотра.

Частые вопросы

Об управлении обновлениями и LSUS

Краткие ответы для администраторов и специалистов по информационной безопасности

Что такое LSUS и зачем нужна система управления обновлениями?

LSUS (Linux System Update Server) — российская платформа patch management. Она централизует проверку, тестирование и установку обновлений на парке Linux и Windows: вместо ручного обхода серверов и АРМ администратор задаёт политики, репозитории и расписания из веб-консоли Master.

Какие ОС и пакетные менеджеры поддерживаются?

Astra Linux, RedOS, ALT Linux, Debian, Ubuntu, Kubuntu, AlmaLinux, CentOS Stream и Windows. Агент Linux работает через APT, DNF/YUM или APT-RPM; для Windows — .NET-агент с Windows Update API и офлайн-каталогом KB.

Можно ли управлять обновлениями в изолированной (air-gapped) сети?

Да. LSUS рассчитан на On-Prem и замкнутые контуры: локальные репозитории, импорт пакетов из ISO, Edge-сервер в DMZ, репликация на Site, офлайн-каталог KB для Windows. Обновления доставляются без прямого доступа клиентов в интернет.

Чем LSUS отличается от Zoho ManageEngine Endpoint Central?

Zoho Endpoint Central — зрелый UEM-продукт «широкого профиля» (включая macOS, мобильные устройства и каталог сторонних приложений), ориентированный на облако и международный рынок. LSUS — специализированная платформа patch management, созданная для контролируемого обновления в российских корпоративных и изолированных контурах.

Критерий Zoho ME Endpoint Central LSUS
Фокус UEM + patch management Централизованное управление обновлениями ОС и пакетов
Российский стек Нет Нативная поддержка Astra, РЕД ОС, ALT Linux
Offline / ЗОКИИ Ограниченно Ключевой сценарий: локальные репо, ISO, офлайн KB
Тестирование перед продом Test & Approve, автоодобрение Модуль тестирования: areas, teams, чеклисты, testing → stable
Архитектура Центральный сервер + агенты Master / Site / Edge для филиалов и DMZ + агенты
Развёртывание On-prem и Cloud SaaS Только on-prem (Docker / пакеты), полный контроль

LSUS сильнее, если приоритет — контролируемый patch management в российском контуре (смешанный парк, ЗОКИИ, offline, распределённая инфраструктура, импортозамещение). По сути, LSUS ближе к связке WSUS/SCCM + локальные репозитории + compliance, адаптированной под российский стек.

Как организована безопасность и защита от атак?

Платформа использует HTTPS на всех уровнях (агенты, Site, Edge, Master). Доступ к консоли защищён защитой от brute-force (блокировка после 5 попыток за 15 минут), поддерживается аутентификация через LDAP/LDAPS и Kerberos SSO. Реализована детальная ролевая модель (RBAC) и полный аудит действий (журнал, REST API). Встроенный модуль экспорта в SIEM передаёт события по Syslog RFC 5424 (UDP/TCP/TLS) или HTTP webhook в MaxPatrol, KUMA, Splunk, rsyslog и другие коллекторы — с буферизацией очереди, авто-replay и защитой от SSRF.

Что даёт модуль «Конфигурации» и как он работает?

Это декларативное управление конфигурацией и compliance для Linux и Windows на базе Ansible. На клиенты ставится агент lsus-config-agent, который локально запускает плейбуки (ansible-playbook -c local) — без входящих портов и SSH-push с сервера. Карта соответствия показывает, где отклоняются параметры (EDR/AV, sshd, sysctl, firewall, auditd, NTP). Плейбуки версионированы и подписаны Ed25519-ключом сервера, что исключает подмену содержимого. Графический конструктор политик в стиле групповых политик ADMX/GPO позволяет включать/отключать политики (реестр Windows, UAC, Defender, брандмауэр, sshd, sysctl) с триадой состояний enabled/disabled/not configured — сервер сам генерирует YAML или PowerShell без погружения в код. Шаблоны ADMX можно импортировать и локализовать, а Vault-учётные данные и дистрибутивы ПО распространяются отдельно.

Зачем нужен AI-ассистент и где хранятся модели?

AI-ассистент — опциональный модуль: ежедневный дайджест состояния парка на дашборде, разбор неудачных прогонов Ansible, генерация черновиков плейбуков по описанию задачи и диагностика хостов. LLM-провайдер выбирается в UI: локальный inference через Ollama (для air-gapped контуров), либо облачные GigaChat и Yandex AI Studio. Модели не входят в дистрибутив — для закрытой сети их экспортируют в архив .tar.gz и загружают через UI Master. Опционально поверх Ollama подключается агентный слой OpenClaw для сложных многошаговых сценариев.

Как обеспечивается отказоустойчивость и работа удалённых клиентов?

Отказоустойчивость достигается за счёт распределённой архитектуры: при недоступности Site-сервера клиенты могут автоматически переключаться (failover) на Master. Для удалённых клиентов и NAC VLAN используется Edge-сервер в DMZ. Если клиент был отключён от сети, после появления связи агент "догоняет" backlog обновлений в ближайшее разрешённое окно установки.

Зарегистрирован ли продукт в Роспатенте?

Да. Программа для ЭВМ «LSUS (Linux System Update Server)» внесена в реестр Роспатента, свидетельство № 2026615730 от 27.02.2026.

Связаться с нами

Готовы внедрить LSUS в вашей организации?

Свяжитесь с нами для получения демонстрационного доступа, расчёта стоимости внедрения или технической консультации. Проведём онлайн-демонстрацию, ответим на вопросы и поможем подобрать конфигурацию под ваши задачи.

Напишите нам

info@lsus.ru

Ответим в течение рабочего дня

Позвоните нам

+7 995 437-14-87

Пн–Пт, 9:00–18:00 МСК

Предоставим демо-доступ к тестовому стенду, поможем с пилотным внедрением и подберём оптимальную архитектуру под инфраструктуру вашей организации.