Linux-Patchmanagement – Übersicht

Agents können Scan- und Patchvorgänge nur auf solchen Linux-Computern durchführen, die die Mindestvoraussetzungen erfüllen. Umfassendere Informationen finden Sie unter Systemvoraussetzungen.

Linux-Computer werden unter Verwendung von Agents gescannt und gepatcht. Der Prozess richtet sich danach, ob Sie die neue inhaltlose Linux-Patchingmethode oder die frühere inhaltbasierte Methode verwenden. Informationen zu der Neuerung finden Sie unter Inhaltloses Linux-Patching.

  1. Identifizieren Sie die betreffenden Linux-Computer.
    • Falls Sie die Identitäten und Speicherorte all Ihrer Linux-Computer kennen, können Sie eine Linux-Computergruppe erstellen.
    • Falls Sie nicht alle Identitäten und Speicherorte Ihrer Linux-Computer kennen, führen Sie einen Energiestatusscan in der Gruppe Eigene Domäne oder Gesamtes Netzwerk durch. Durch den Scan werden die Betriebssystemtypen der einzelnen Computer in der Gruppe identifiziert und Ihre Linux-Computer werden auf der Registerkarte Linux-Patch der Computeransicht angezeigt.
  2. Erstellen Sie eine oder mehrere Linux-Patchgruppen und -Konfigurationen.
    • Erstellen Sie eine Linux-Patchgruppe (nur inhaltbasiert): Dies ist optional, aber generell ein guter Ansatz. Beim inhaltbasierten Patching erzielen Sie mit dem Erstellen einer Patchgruppe mehr Kontrolle über Ihre Scans und Bereitstellungen. Sie können beispielsweise nach einem bestimmten Patchsatz scannen und diesen bereitstellen. Diese Funktionalität wird in Kürze auch für die inhaltlose Methode verfügbar sein.
    • Erstellen Sie eine Linux-Patchscankonfiguration (nur inhaltbasiert): Mithilfe dieser Konfiguration legen Sie genau fest, wie Ihre Linux-Computer gescannt werden. Bei der neuen inhaltlosen Patchingmethode ist keine Patchscankonfiguration erforderlich, da bei dieser Methode vor jeder Bereitstellung grundsätzlich ein Patchscan nach allen fehlenden Patches durchgeführt wird.
    • Linux-Patchbereitstellungskonfiguration erstellen: Mithilfe dieser Konfiguration legen Sie genau fest, wie Patches auf Ihren Linux-Computern bereitgestellt werden. Sie erstellen separate Bereitstellungskonfigurationen für die neue inhaltlose Linux-Patchingmethode und die frühere inhaltbasierte Linux-Patchingmethode.
  3. Erstellen Sie eine oder mehrere Agentrichtlinien.

    4. Eine Agentrichtlinie definiert genau, was ein Agent tun kann und was nicht. In der Agentrichtlinie erstellen Sie dann einen oder mehrere Linux-Patchtasks. In jedem Task geben Sie an, wann der Task auf dem Agentcomputer durchgeführt wird und welche Konfigurationen während der Scan- und Bereitstellungsprozesse verwendet werden sollen.

    Sie können durchaus Windows- und Linux-Tasks in ein und derselben Agentrichtlinie mischen. Die Windows-Tasks werden von den Linux-Computern ignoriert und umgekehrt.

  4. Installieren Sie die Agentrichtlinie.

    5. Die einzelnen Linux-Computer müssen ordnungsgemäß konfiguriert sein, damit Sie einen Agent via Push installieren können. Einzelheiten finden Sie unter Systemvoraussetzungen.

    Eine Option ist die Durchführung einer "Push-Installation" des Agents über die Security Controls-Konsole. Dazu haben Sie verschiedene Möglichkeiten:

    • Wählen Sie innerhalb Ihrer Linux-Computergruppe die Computer im unteren Bereich aus und klicken Sie anschließend auf Agent (neu) installieren.
    • Klicken Sie in der Computeransicht mit der rechten Maustaste auf die Linux-Computer und installieren Sie die gewünschte Agentenrichtlinie.

      • Falls Sie einen Energiestatusscan auf Ihren Linux-Computern ausgeführt haben, können Sie diesen Schritt auch über die Liste Ergebnisse im Navigationsbereich ausführen.

    Eine weitere Option ist das manuelle Installieren des Agents auf den einzelnen Linux-Computern. Nähere Informationen finden Sie unter Manuelles Installieren von Agents.

  5. Verwenden Sie den Agent.

    6. Der Agent führt seine Tasks automatisch durch und meldet die Ergebnisse an die Konsole. Sie können die Computeransicht oder die Scanansicht zur Verwaltung der Computer verwenden, auf denen eine Agentrichtlinie ausgeführt wird. Wenn Sie den Agent manuell steuern möchten, verwenden Sie dazu ein Befehlszeilen-Dienstprogramm. Einzelheiten finden Sie unter Verwenden eines Agents auf einem Zielcomputer.

    Wenn ein Linux-Agent einen Patch bereitstellen möchte, verwendet er dazu Yellowdog Updater, Modified (YUM). YUM ist ein Befehlszeilen-Dienstprogramm, das zum Abrufen, Installieren und Verwalten von RPM-Paketen verwendet wird. Falls Sie über Linux-Clientcomputer verfügen, die sich in einem getrennten Netzwerk befinden, kann der Agent YUM nicht verwenden und Sie müssen ein oder mehrere lokale Repositories einrichten.