Linux-apparaten patchen

Deze pagina bevat informatie die specifiek is voor het patchen van Linux-apparaten.

Benadering zonder inhoud voor het toepassen van een patch op Linux

De patchoplossing van Ivanti voor Linux verschilt van deze die wordt gebruikt voor Windows en MacOS. Het is belangrijk om te begrijpen hoe inhoudsloze benadering van Linux-patching verschilt van de op inhoud gebaseerde benadering van Windows- en macOS-patching omdat dit resulteert in patchgegevens voor de verschillende besturingssystemen die verschijnen op verschillende tijdstippen in de producten van Ivanti.

Bekijk een gerelateerde video (02:44)

Voor Windows en Mac worden de gegevens van de patchinhoud gecureerd en getest door Ivanti voordat deze wordt vrijgegeven voor gebruik door de producten. Zie Ivanti-gemeenschap voor volledige details over dit proces. Deze benadering is vereist omdat deze besturingssystemen toestaan dat er software wordt geïnstalleerd van verschillende bronnen.

Linux heeft een andere benadering, waar de implementatie en het onderhoud van de geïnstalleerde software wordt beheer met een Pakketbeheer dat is verbonden met distributiespecifieke opslagplaatsen. De patchingproducten van Ivanti gebruiken de opslagbronnen van het apparaat om de patchinhoud die vereist is tijdens de patchscan, in te vullen. Dit is de inhoudloze benadering en zorgt dat de producten flexibeler zijn. Hierdoor kunt u interne en opslagruimten van derden gebruiken zonder dat Ivanti zijn eigen patchinhoud moet bijwerken. Zodra updates beschikbaar zijn vanaf de opslagplaats, zijn ze daarnaast beschikbaar voor installatie zonder dat hiervoor een update van de Patchinhoud van Ivanti nodig is.

Aanvankelijk verschijnen er geen Linux-patchgegevens in Neurons zolang een apparaat is gescand en de gegevens voor dat apparaat zijn geüpload en verwerkt. Naarmate meer apparaten worden gescand, worden eventuele aanvullende gegevens samengevoegd om een meer compleet beeld te bieden.

Ivanti Neurons for Patch Management volgt de conventie bij de patching van Linux-apparaten door altijd bij te werken naar nieuwste pakket dat beschikbaar is in de opslagruimte, zelfs als een eerdere versie is geselecteerd. Denk eraan dat dit voor sommige distributies in feite de enige beschikbare optie is omdat eerdere versies van een pakket niet beschikbaar zijn vanaf de opslagruimte.

Wanneer u het originele dnf-pakketbeheer gebruikt dat is geleverd met Linux-distributies, afgeleid van Red Hat Kernel-versies 8.1 - 8.4, kan de dnf pre-implementatiescan false-positive meldingen genereren die niet verschijnen in de resultaten van de post-implementatiescan. Dit werd gecorrigeerd door Red Hat in het pakketbeheer dat wordt geleverd bij versie 8.5, en kan ook worden gecorrigeerd met de opdracht sudo dnf update dnf.

Modules en versies

U kunt niet altijd de nieuwste versie van een pakket op een Linux-apparaat installeren.

Voor Red Hat Linux en distributies die zijn afgeleid van Red Hat, kunnen er op een apparaat modules zijn geïnstalleerd die meerdere streams bevatten, waarvan er slechts één op een apparaat kan worden ingeschakeld.

module A heeft drie streams, waarvan er slechts één is ingeschakeld op het apparaat

Neem het geval waarin een adviesbureau een pakket in een van deze moduletypes wil bijwerken.

Een pakket bijwerken binnen een module die meerdere streams heeft

Als de nieuwe versie van het pakket voor een specifieke stream is die verschilt van de ingeschakelde stream op een apparaat, is het bijgewerkte pakket niet compatibel en kan het niet worden geïnstalleerd. Hierdoor zal een latere versie van een pakket voor een module beschikbaar zijn, dan de versie die op een apparaat kan worden geïnstalleerd.

Het nieuwe pakket is afhankelijk van een andere stream van de module dan de ingeschakelde stream op het apparaat. Het nieuwe pakket kan daarom niet worden geïnstalleerd

Op dezelfde manier kan het lijken dat het nieuwste pakket niet is geïnstalleerd vanwege module-afhankelijkheden. De module perl-DBD-SQLite lijkt bijvoorbeeld verschillende module-updates te hebben voor het pakket perl-DBD-SQLite:

  • perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+55ca6856.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+f62455ee.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.2.0+4265+ff794501.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.6.0+13408+461b4ab5.x86_64

Elk van deze pakketten heeft een afhankelijkheid op een specifieke perl-stream. De eerste kan alleen worden geïnstalleerd als perl:5.24 is ingeschakeld en de laatste alleen als perl:5.32 is ingeschakeld. Het kan dus zijn dat wat de nieuwste versie van een pakket lijkt, niet op een specifiek apparaat kan worden geïnstalleerd.