Applicazione patch sui dispositivi Linux

Questa pagina contiene informazioni specifiche per l'applicazione di patch sui dispositivi Linux.

Approccio senza contenuto all'applicazione patch su Linux

La soluzione di applicazione patch di Ivanti per Linux è diversa da quella utilizzata per Windows e macOS. È importante capire come l'approccio senza contenuto all'applicazione patch di Linux differisca dall'approccio basato sul contenuto all'applicazione patch di Windows e macOS, poiché i dati delle patch per i diversi sistemi operativi appaiono in momenti diversi nei prodotti Ivanti.

Guarda un video correlato (02:44)

Per Windows e macOS, i dati del contenuto delle patch sono gestiti e testati da Ivanti prima di essere rilasciati ai prodotti per l'uso. Per tutti i dettagli di questo processo, consultare il sito della Community Ivanti. Questo approccio è necessario perché questi sistemi operativi consentono di installare software da diverse fonti.

Linux ha un approccio diverso, in cui la distribuzione e la manutenzione del software installato sono controllate da un Package Manager collegato ai depositi specifici della distribuzione. I prodotti di applicazione patch Ivanti utilizzano le sorgenti del deposito del dispositivo per popolare il contenuto della patch richiesto durante l'analisi patch. Questo approccio è detto senza contenuto e consente ai prodotti di essere più flessibili. Consente di utilizzare depositi interni e di terze parti senza che Ivanti debba aggiornare il proprio contenuto patch. Inoltre, non appena gli aggiornamenti sono disponibili nel deposito, sono disponibili anche per l'installazione senza la necessità di un aggiornamento del Patch Content da parte di Ivanti.

Inizialmente, in Neurons non vengono visualizzati i dati delle patch Linux finché non viene eseguita la scansione di un dispositivo e non vengono caricati ed elaborati i dati relativi a tale dispositivo. Man mano che vengono scansionati altri dispositivi, tutti i dati aggiuntivi vengono uniti per fornire un quadro più completo.

Ivanti Neurons for Patch Management segue la convenzione di applicazione patch dei dispositivi Linux aggiornando sempre all'ultimo pacchetto disponibile nel deposito, anche se è stata selezionata una versione precedente. Si noti che per alcune distribuzioni questa è l'unica opzione disponibile, poiché le versioni precedenti di un pacchetto non sono disponibili nel deposito.

Quando si utilizza la gestione pacchetti dnf originale fornita con le distribuzioni Linux derivate da Red Hat Kernel versioni 8.1 - 8.4, la scansione pre-distribuzione di dnf può generare notifiche false positive che non appaiono nei risultati della scansione post-distribuzione. Questo problema è stato corretto da Red Hat nella gestione pacchetti fornita con la versione 8.5 e può essere corretto anche utilizzando il comando sudo dnf update dnf.

Moduli e versioni

Non è sempre possibile installare la versione più recente di un pacchetto su un dispositivo Linux.

Per Red Hat Linux e le distribuzioni derivate da Red Hat, un dispositivo può avere installato moduli che hanno diversi flussi, di cui solo uno può essere abilitato su un dispositivo.

il modulo A ha tre flussi, di cui solo uno è abilitato sul dispositivo

Si consideri il caso in cui un avviso richieda l'aggiornamento di un pacchetto in uno di questi tipi di moduli.

Aggiornare un pacchetto all'interno di un modulo che ha diversi flussi

Se la nuova versione del pacchetto è per un flusso specifico che differisce dal flusso abilitato su un dispositivo, il pacchetto aggiornato è incompatibile e non può essere installato. Di conseguenza, sarà disponibile una versione successiva di un pacchetto per un modulo rispetto alla versione che può essere installata su un dispositivo.

Il nuovo pacchetto dipende da un flusso del modulo diverso da quello abilitato sul dispositivo, quindi il nuovo pacchetto non può essere installato

Allo stesso modo, potrebbe sembrare che il pacchetto più recente non sia stato installato a causa delle dipendenze dei moduli. Ad esempio, il modulo perl-DBD-SQLite sembra presentare diversi aggiornamenti di modulo per il pacchetto perl-DBD-SQLite:

  • perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+55ca6856.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+f62455ee.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.2.0+4265+ff794501.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.6.0+13408+461b4ab5.x86_64

Tuttavia, ognuno di questi pacchetti ha una dipendenza da uno specifico flusso di perl. Il primo può essere installato solo quando perl:5.24 è abilitato e l'ultimo solo quando perl:5.32 è abilitato, per cui può accadere che quella che sembra essere l'ultima versione di un pacchetto non possa essere installata su un dispositivo specifico.