Patchen von Linux-Geräten

Diese Seite enthält Informationen zum Patchen von Linux-Geräten.

Inhaltloser Ansatz für Linux-Patching

Die Patching-Lösung von Ivanti für Linux unterscheidet sich von der für Windows und macOS. Es ist wichtig, dass Sie den Unterschied zwischen dem inhaltlosen Ansatz für Linux und dem inhaltbasierten Ansatz für Windows- und macOS-Patching verstehen, da sich diese darauf auswirken, wann die Patchdaten der verschiedenen Betriebssysteme in den Produkten von Ivanti angezeigt werden.

Video zu diesem Thema ansehen (02:44)

Für Windows und macOS werden die Patchinhaltsdaten von Ivanti kuratiert und getestet, bevor sie für die Verwendung in Produkten freigegeben werden. Umfassende Informationen zu diesem Prozess finden Sie in der Ivanti Community. Dieser Ansatz ist erforderlich, da diese Betriebssysteme die Installation von Software über verschiedene Quellen zulassen.

Linux verfolgt einen anderen Ansatz. Dabei wird das Bereitstellen und Warten der installierten Software über einen Paketmanager gesteuert, der je nach Distribution mit einem bestimmten Repository verbunden ist. Die Patchingprodukte von Ivanti greifen auf die Repositoryquellen des Geräts zu, um den während des Patchscans erforderlichen Patchinhalt zu befüllen. Dieser inhaltlose Ansatz sorgt dafür, dass die Produkte flexibler sind. Dadurch können Sie externe und interne Repositorys verwenden, ohne dass Ivanti seinen eigenen Patchinhalt aktualisieren muss. Auch Updates können ohne Aktualisierung des Patchinhalts durch Ivanti unmittelbar nach Verfügbarkeit im Repository installiert werden.

Zu Beginn werden in Neurons keine Linux-Patchdaten angezeigt. Dies ist erst der Fall, nachdem ein Gerät gescannt und die Daten zu dem Gerät hochgeladen und verarbeitet wurden. Mit dem Scannen weiterer Geräte werden zusätzliche Daten zusammengeführt, sodass mit der Zeit ein vollständigeres Bild entsteht.

Ivanti Neurons for Patch Management folgt beim Patchen von Linux-Geräten der Konvention, indem immer auf das neueste im Repository verfügbare Paket aktualisiert wird, selbst wenn eine frühere Version ausgewählt wurde. Beachten Sie, dass dies für einige Distributionen die einzige verfügbare Option ist, da frühere Versionen eines Pakets nicht im Repository verfügbar sind.

Bei Verwendung des ursprünglichen dnf-Paketmanagers, der mit Linux-Distributionen bereitgestellt wird, die auf den Red Hat Kernel-Versionen 8.1 bis 8.4 basieren, kann der dnf-Scan vor der Bereitstellung möglicherweise falsch positive Benachrichtigungen generieren, die in den Scan-Ergebnissen nach der Bereitstellung nicht angezeigt werden. Dies wurde von Red Hat in dem mit Version 8.5 bereitgestellten Paketmanager korrigiert und kann auch mit dem Befehl sudo dnf update dnfkorrigiert werden.

Module und Versionen

Auf einem Linux-Gerät kann nicht immer die neueste Version eines Pakets installiert werden.

Bei Red Hat Linux und aus Red Hat abgeleiteten Distributionen können Module mit mehreren Streams auf einem Gerät installiert sein, wobei nur einer davon aktiviert werden kann.

Modul A verfügt über drei Streams, von denen nur einer auf dem Gerät aktiviert ist.

Angenommen, ein Advisory möchte ein Paket in einem dieser Modultypen aktualisieren.

Aktualisieren eines Pakets in einem Modul mit mehreren Streams

Wenn sich die neues Version des Pakets auf einen anderen Stream bezieht als den, der auf dem Gerät aktiviert ist, dann ist das aktualisierte Paket nicht kompatibel und kann nicht installiert werden. Folglich ist eine spätere Version des Pakets für ein Modul verfügbar als diejenige, die auf dem Gerät installiert werden kann.

Wenn sich die neues Version des Pakets auf einen anderen Stream bezieht als den, der auf dem Gerät aktiviert ist, kann das neue Paket nicht installiert werden.

Es kann auch sein, dass das neueste Paket aufgrund von Modulabhängigkeiten nicht installiert wurde. Beispiel: Das Modul perl-DBD-SQLite verfügt offenbar über mehrere Modulupdates für das Paket perl-DBD-SQLite:

  • perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+55ca6856.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+f62455ee.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.2.0+4265+ff794501.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.6.0+13408+461b4ab5.x86_64

Jedes dieser Pakete ist jedoch von einem bestimmten perl-Stream abhängig. Das erste kann nur installiert werden, wenn perl:5.24 aktiviert ist, das letzte nur, wenn perl:5.32 aktiviert ist. Es kann also sein, dass die scheinbar neueste Version eines Pakets auf einem bestimmten Gerät nicht installiert werden kann.