Aplicação de patches em dispositivos Linux
Esta página contém informações específicas para aplicação de patches em dispositivos Linux.
Abordagem sem conteúdo para aplicação de patches no Linux
A solução de patch da Ivanti para Linux é diferente daquela usada para Windows e macOS. É importante entender como a abordagem sem conteúdo para aplicação de patches no Linux difere da abordagem baseada em conteúdo para aplicação de patches em Windows e macOS, pois isso afeta o momento em que os dados referentes a cada sistema operacional aparecem nos produtos Ivanti.
Assista a um vídeo relacionado (02:44)
Para Windows e macOS, os dados do conteúdo do patch são selecionados e testados pela Ivanti antes de serem liberados para uso nos produtos. Para obter detalhes completos desse processo, consulte a Comunidade Ivanti. Essa abordagem é necessária porque esses sistemas operacionais permitem a instalação de software de diversas fontes.
O Linux tem uma abordagem diferente, na qual a implantação e a manutenção do software instalado são controladas por meio de um Gerenciador de Pacotes conectado a repositórios específicos das distribuições. Os produtos de aplicação de patch da Ivanti usam as fontes de repositório do dispositivo para preencher o conteúdo de patch exigido durante a verificação. Essa é a abordagem sem conteúdo, que permite aos produtos serem mais flexíveis. Ela permite que você use repositórios internos e de terceiros, sem a necessidade de a Ivanti atualizar o conteúdo de patch dela. Além disso, assim que as atualizações ficam disponíveis no repositório, elas são disponibilizadas para instalação sem a necessidade de uma atualização de conteúdo do patch pela Ivanti.
Inicialmente, nenhum dado de patch do Linux aparece no Neurons até que um dispositivo tenha sido verificado e os dados desse dispositivo tenham sido carregados e processados. À medida que mais dispositivos são analisados, os dados adicionais são incorporados para fornecer um panorama mais completo.
O Ivanti Neurons for Patch Management organiza a aplicação de patches em dispositivos Linux seguindo a convenção de sempre atualizar para o pacote mais recente disponível no repositório, mesmo que uma versão anterior esteja selecionada. Observe, que para algumas distribuições, essa é a única opção disponível, já que não há versões anteriores do pacote disponíveis no repositório.
Ao usar o gerenciador de pacotes dnf original que é fornecido com as distribuições Linux derivadas das versões 8.1 a 8.4 do Red Hat Kernel, a verificação pré-implantação do dnf pode gerar notificações de falso-positivos que não aparecem nos resultados da verificação pós-implantação. Isso foi corrigido pela Red Hat no gerenciador de pacotes fornecido com a versão 8.5, e também pode ser corrigido com o comando sudo dnf update dnf.
Módulos e versões
Nem sempre é possível instalar a versão mais recente de um pacote num dispositivo Linux.
No Red Hat Linux e distribuições derivadas do Red Hat, um dispositivo pode ter instalados módulos que tenham vários fluxos, mas apenas um pode ser habilitado no dispositivo.
Considere o caso em que um aviso deseja atualizar um pacote em um desses tipos de módulo.
Se a nova versão do pacote for para um fluxo específico, diferente daquele habilitado no dispositivo, o pacote atualizado será incompatível e não poderá ser instalado. Como resultado, será disponibilizada para o módulo uma versão de pacote posterior à versão que pode ser instalada no dispositivo.
Da mesma forma, pode parecer que o pacote mais recente não foi instalado por conta de dependências do módulo. Por exemplo, o módulo perl-DBD-SQLite parece ter várias atualizações de módulo para o pacote perl-DBD-SQLite:
- perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+55ca6856.x86_64
- perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+f62455ee.x86_64
- perl-DBD-SQLite-0:1.58-2.module+el8.2.0+4265+ff794501.x86_64
- perl-DBD-SQLite-0:1.58-2.module+el8.6.0+13408+461b4ab5.x86_64
No entanto, cada um desses pacotes depende de um fluxo Perl específico. O primeiro pode ser instalado apenas quando perl:5.24 está habilitado, e o último somente quando perl:5.32 está habilitado, de modo que aquela que aparenta ser versão mais recente do pacote talvez não possa ser instalada num dispositivo específico.