Parchear dispositivos Linux

Esta página contiene información específica para parchear dispositivos Linux.

Enfoque sin contenido de la aplicación de parches en Linux

La solución de parches de Ivanti para Linux difiere de la que se utiliza para Windows y Mac. Es importante comprender en qué se diferencia el enfoque sin contenido de la aplicación de parches a Linux del enfoque basado en contenido de la aplicación de parches a Windows y macOS, ya que da lugar a que los datos de los parches para los distintos sistemas operativos aparezcan en distintos momentos en los productos de Ivanti.

Vea un vídeo relacionado (02:44)

En el caso de Windows y macOS, antes de distribuir los parches a los productos para ser usados, Ivanti elabora y comprueba el contenido. Para conocer todos los detalles de este proceso, consulte la página Ivanti Community. Este enfoque es necesario porque estos sistemas operativos permiten instalar software de distintas fuentes.

Linux tiene un enfoque distinto, en el que el despliegue y mantenimiento del software instalado se controla mediante un Gestor de paquetes conectado a repositorios específicos de la distribución. Los productos de parches de Ivanti utilizan las fuentes de repositorio del dispositivo para rellenar el contenido del parche necesario durante el análisis de parches. Se trata del enfoque sin contenido y permite que los productos sean más flexibles. Le permite utilizar repositorios de terceros e internos sin necesidad de que Ivanti actualice su propio Contenido de parches. Además, en cuanto las actualizaciones están disponibles en el repositorio, pueden instalarse sin necesidad de que Ivanti actualice el contenido de los parches.

Inicialmente, no aparecen datos de parches Linux en Neurons hasta que se ha analizado un dispositivo y se han cargado y procesado los datos de ese dispositivo. A medida que se analizan más dispositivos, los datos adicionales se fusionan para proporcionar una imagen más completa.

Ivanti Neurons for Patch Management sigue la convención en el parcheado de dispositivos Linux actualizando siempre al último paquete disponible en el repositorio, aunque se seleccione una versión anterior. Tenga en cuenta que para algunas distribuciones esta es la única opción disponible, ya que las versiones anteriores de un paquete no están disponibles en el repositorio.

Cuando se utiliza el gestor de paquetes dnf original proporcionado con las distribuciones de Linux derivadas de las versiones 8.1 - 8.4 de Red Hat Kernel, el análisis dnf previo a la implantación puede generar notificaciones de falsos positivos que no aparecen en los resultados del análisis posterior a la implantación. Esto se ha corregido con Red Hat en el gestor de paquetes que se proporciona con la versión 8.5, y también puede corregirse mediante el comando sudo dnf update dnf.

Módulos y versiones

No siempre es posible instalar la última versión de un paquete en un dispositivo Linux.

Para Red Hat Linux y distribuciones derivadas de Red Hat, un dispositivo puede tener módulos instalados que tienen varios flujos, de los cuales solo uno puede habilitarse en un dispositivo.

El módulo A tiene tres flujos, de los cuales solo uno está habilitado en el dispositivo.

Considere el caso en el que un aviso quiere actualizar un paquete en uno de estos tipos de módulo.

Actualizar un paquete dentro de un módulo que tiene varios flujos

Si la nueva versión del paquete es para una transmisión específica que difiere de la transmisión habilitada en un dispositivo, entonces el paquete actualizado es incompatible y no se puede instalar. Como resultado, estará disponible una versión posterior de un paquete para un módulo que la versión que se puede instalar en un dispositivo.

El nuevo paquete depende de una secuencia del módulo distinta a la secuencia habilitada en el dispositivo, por lo que el nuevo paquete no se puede instalar.

De manera similar, puede parecer que el paquete más reciente no se ha instalado debido a dependencias del módulo. Por ejemplo, el módulo perl-DBD-SQLite parece tener varias actualizaciones de módulo para el paquete perl-DBD-SQLite:

  • perl-DBD-SQLite-0:1.58-2.module el8.1.0 2940 55ca6856.x8664
  • perl-DBD-SQLite-0:1.58-2.module el8.1.0 2940 f62455ee.x8664
  • perl-DBD-SQLite-0:1.58-2.module el8.2.0 4265 ff794501.x8664
  • perl-DBD-SQLite-0:1.58-2.module el8.6.0 13408 461b4ab5.x8664

No obstante, cada uno de estos paquetes depende de un flujo de Perl específico. El primero se puede instalar solo cuando perl:5.24 está habilitado, y el último solo cuando perl:5.32 está habilitado, por lo que puede ser que lo que parece ser la última versión de un paquete no se pueda instalar en un dispositivo específico.