Erstellen und Bearbeiten einer Linux-Patchbereitstellungskonfiguration

Die Linux-Patchbereitstellungskonfiguration legt fest, wie eine Patchbereitstellung durchgeführt wird. Es gibt separate Bereitstellungskonfigurationen für die neue inhaltlose Linux-Patchingmethode und die frühere inhaltbasierte Patchingmethode. Die neue inhaltlose Patchingmethode führt bei allen Bereitstellungskonfigurationen einen Scan nach fehlenden Patches durch.

Security Controls enthält eine vordefinierte Konfiguration mit dem Namen Alle aktualisieren. Diese Konfiguration gibt an, dass der Agent alle Patches bereitstellt, die im Rahmen eines Patchscans als fehlend identifiziert wurden. Es wird keine Patchgruppe verwendet und im Anschluss an die Bereitstellung wird kein Neustart durchgeführt.

Die vordefinierte Konfiguration kann nicht bearbeitet werden. Falls die vordefinierte Konfiguration für Ihre Anforderungen ungeeignet ist, können Sie eine benutzerdefinierte Konfiguration für inhaltloses und inhaltbasiertes Patching erstellen (siehe Beschreibung weiter unten).

Um mit einer benutzerdefinierten inhaltlosen Linux-Patchbereitstellungskonfiguration zu arbeiten, führen Sie einen der folgenden Schritte aus:

  • So erstellen Sie eine neue Bereitstellungskonfiguration:
    • Klicken Sie auf Neu > Linux-Patch > Patchbereitstellungskonfiguration.
    • Klicken Sie in der Liste Linux-Patchbereitstellungskonfigurationen (Symbol für Linux) im Navigationsbereich mit der rechten Maustaste und wählen Sie Neue Linux-Patchbereitstellungskonfiguration aus.
  • Wenn Sie eine vorhandene Konfiguration bearbeiten möchten, doppelklicken Sie in der Liste Linux-Patchbereitstellungskonfigurationen auf den Namen der Konfiguration.

Feld Beschreibungen

Name

Der Name, den Sie dieser Konfiguration zuweisen möchten.

Pfad

In diesem Feld wird angegeben, unter welchem Ordnerpfad sich diese Konfiguration in der Liste Linux-Patchbereitstellungskonfigurationen im Navigationsbereich befinden wird. Wenn Sie keinen Pfad angeben, wird die Konfiguration auf der obersten Ebene der Liste Meine Linux-Patchbereitstellungskonfigurationen stehen. Weitere Einzelheiten finden Sie unter Organisieren von Linux-Patchgruppen und Konfigurationen.

Beschreibung

Eine Beschreibung der Konfiguration.

Alle fehlenden Patches bereitstellen

Wenn diese Option aktiviert ist, werden alle Patches bereitgestellt, die beim Patchscan im Rahmen der Bereitstellung als fehlend identifiziert wurden.

Ausgewählte Patches bereitstellen

Wenn diese Option aktiviert ist, werden nur diejenigen Patches bereitgestellt, die beim Scannen im Rahmen der Bereitstellung als fehlend identifiziert wurden und die konfigurierten Kriterien erfüllen.

  • Nach Schweregrad bereitstellen: Wenn diese Option aktiviert ist, können Sie die Patchtypen und Schweregrade angeben, die in einer Bereitstellung enthalten sein sollen. Symbole zeigen an, welche Linux-Distributionen für die einzelnen Stufen unterstützt werden.
    • Sicherheit: Patches, die im Zusammenhang mit Sicherheitsbulletins stehen. Sie können einen oder mehrere konkrete Schweregrade für die Bereitstellung wählen.
      • Sicherheit – kritisch: Anfälligkeiten, die von einem nicht authentifizierten remoten Angreifer ausgenutzt werden können, oder Anfälligkeiten, die die Isolation des Gast-/Host-Betriebssystems durchbrechen. Die Ausnutzung führt zu einer Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit von Benutzerdaten oder Verarbeitungsressourcen ohne Interaktion des Benutzers. Die Ausnutzung könnte dazu eingesetzt werden, einen Internet-Wurm zu verbreiten oder um willkürlichen Code zwischen virtuellen Maschinen und dem Host auszuführen.
      • Sicherheit – wichtig: Anfälligkeiten, deren Ausnutzung die Vertraulichkeit, Integrität oder Verfügbarkeit von Benutzerdaten oder Verarbeitungsressourcen kompromittiert. Schwachstellen dieser Art könnten es lokalen Benutzern ermöglichen, Berechtigungen zu erlangen, authentifizierten remoten Benutzern die Ausführung von willkürlichem Code gestatten oder es zulassen, dass lokale oder remote Benutzer einen Denial of Service verursachen.
      • Sicherheit – mittel: Schwachstellen, bei denen die Fähigkeit zur Ausnutzung in erheblichem Maße durch die Konfiguration oder Schwierigkeit der Ausnutzung entschärft ist, aber in bestimmten Bereitstellungsszenarien dennoch zu einer gewissen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit von Benutzerdaten oder Verarbeitungsressourcen führen kann. Dies sind die Anfälligkeiten, die kritische oder wichtige Auswirkungen haben könnten, aber auf der Basis einer technischen Bewertung der Schwachstelle weniger leicht ausgenutzt werden, oder aber eher unwahrscheinliche Konfigurationen betreffen.
      • Sicherheit – gering: Alle anderen Probleme, die sich auf die Sicherheit auswirken. Anfälligkeiten, bei denen davon ausgegangen wird, dass eine Ausnutzung extrem schwierig wäre oder eine erfolgreiche Ausnutzung nur minimale Auswirkungen hätte.
    • Bugfix: Anbieter-Patches, mit denen Fehler korrigiert werden.
    • Verbesserung: Anbieter-Patches, die Funktionsverbesserungen bieten.

      • Verbesserung ist für Oracle v7 und Red Hat v7 nicht verfügbar.

  • Nach Patchgruppe bereitstellen: Wenn diese Option aktiviert ist, können Sie eine oder mehrere Patchgruppen angeben, die diejenigen Patches enthalten, die Sie in einer Bereitstellung berücksichtigen möchten. Dies ist eine gute Methode, um sicherzustellen, dass nur genehmigte Patches bereitgestellt werden. Fehlende Patches, die nicht in ausgewählten Patchgruppen enthalten sind, werden nur dann bereitgestellt, wenn sie die bei der Option Nach Schweregrad bereitstellen angegebenen Systemanforderungen erfüllen.

Security Controls folgt der Konvention beim Patching von Linux-Geräten, d. h. es wird immer auf das neueste im Repository verfügbare Paket aktualisiert, selbst wenn eine frühere Version ausgewählt wurde. Bei einigen Distributionen ist dies sogar die einzige mögliche Option, da frühere Versionen eines Pakets nicht über das Repository verfügbar sind.

Optionen für den Neustart nach Bereitstellung

Hierüber geben Sie an, ob Neustarts nach der Bereitstellung zulässig sein sollen oder nicht.

Einstellungen für Neustart-Countdowns usw. werden im Abschnitt Server-/Linux-Patch der Registerkarte Optionen für den Agentenneustart im Dialogfeld "Agentenrichtlinieneditor" festgelegt (siehe Optionen für den Agentneustart).

Bei Auswahl von Ausgewählte Patches bereitstellen werden Pakete, die Abhängigkeiten für die angegebenen Advisories darstellen, zusätzlich zu denjenigen Paketen installiert, die mit den Advisories in den Patchgruppen verknüpft sind. Wenn Sie dann die Optionen für den Neustart nach Bereitstellung auf Neustart wenn erforderlich setzen, können durch diese Abhängigkeiten zusätzliche Neustarts ausgelöst werden.

Denken Sie daran, dass für einige Updates ein Neustart erforderlich ist und dass der Computer in dem Fall anfällig ist, bis der Neustart erfolgt. Wir empfehlen deshalb, die Option Nie neustarten nur für Server mit geplanten Wartungsfenstern zu aktivieren.

Registerkarte Verwendet von

Diese Registerkarte zeigt die Agentrichtlinien an, die derzeit diese Konfiguration verwenden. Dies ist wichtig zu wissen, falls Sie vorhaben, die Konfiguration zu ändern, denn so erfahren Sie, welche Agents davon betroffen sind.

Falls ein Oracle Linux-Computer sowohl über den Red Hat Compatible Kernel (RHCK) als auch den Unbreakable Enterprise Kernel (UEK) verfügt, werden beide Kernels gescannt und gepatcht. Da jedoch der gerade nicht ausgeführte Kernel nicht anfällig ist, werden seine Advisories immer als installiert gemeldet.

Um mit einer benutzerdefinierten inhaltbasierten Linux-Patchbereitstellungskonfiguration zu arbeiten, führen Sie einen der folgenden Schritte durch:

  • So erstellen Sie eine neue Bereitstellungskonfiguration:
    • Klicken Sie auf Neu > Linux-Patch (inhaltbasiert) > Patchbereitstellungskonfiguration (inhaltbasiert).
    • Klicken Sie in der Liste Linux-Patchbereitstellungskonfigurationen (inhaltbasiert) (Symbol für inhaltbasiertes Linux-Patching) im Navigationsbereich mit der rechten Maustaste und wählen Sie Neue Linux-Patchbereitstellungskonfiguration aus.
  • Wenn Sie eine vorhandene Konfiguration bearbeiten möchten, doppelklicken Sie in der Liste Linux-Patchbereitstellungskonfigurationen auf den Namen der Konfiguration.

Feld Beschreibungen

Name

Der Name, den Sie dieser Konfiguration zuweisen möchten.

Pfad

In diesem Feld wird angegeben, unter welchem Ordnerpfad sich diese Konfiguration in der Liste Linux-Patchbereitstellungskonfigurationen im Navigationsbereich befinden wird. Wenn Sie keinen Pfad angeben, wird die Konfiguration auf der obersten Ebene der Liste Meine Linux-Patchbereitstellungskonfigurationen stehen. Weitere Einzelheiten finden Sie unter Organisieren von Linux-Patchgruppen und Konfigurationen.

Beschreibung

Eine Beschreibung der Konfiguration.

Neustart nach Bereitstellung, falls Zielpatches dies erfordern

Wenn diese Option aktiviert ist, prüft Security Controls die bereitzustellenden Patches und bestimmt, ob ein Neustart erforderlich ist.

Wenn diese Option nicht aktiviert ist, wird nach der Bereitstellung kein Neustart durchgeführt.

Einstellungen für Neustart-Countdowns usw. werden im Abschnitt Server-/Linux-Patch der Registerkarte Optionen für den Agentenneustart im Dialogfeld "Agentenrichtlinieneditor" festgelegt (siehe Optionen für den Agentneustart).

Alle fehlenden Patches bereitstellen

Wenn diese Option aktiviert ist, werden alle Patches bereitgestellt, die im Rahmen eines Patchscans als fehlend identifiziert wurden.

Nach Patchgruppe bereitstellen

Wenn diese Option aktiviert ist, werden alle Patches bereitgestellt, die im Rahmen eines Patchscans als fehlend identifiziert wurden und in den angegebenen Linux-Gruppen enthalten sind.

Nur explizite Version bereitstellen

Wenn diese Option aktiviert ist, wird nur die bestimmte Version bereitgestellt, die als fehlend erkannt wurde. Ist eine neuere Version des Patches verfügbar, wird diese nicht bereitgestellt.

Registerkarte Verwendet von

Diese Registerkarte zeigt die Agentrichtlinien an, die derzeit diese Konfiguration verwenden. Dies ist wichtig zu wissen, falls Sie vorhaben, die Konfiguration zu ändern, denn so erfahren Sie, welche Agents davon betroffen sind.

Bereitstellungen mit YUM

Yellowdog Updater, Modified (YUM) ist ein Befehlszeilen-Dienstprogramm zum Abrufen, Installieren und Verwalten von RPM-Paketen aus offiziellen Red Hat- und CentOS-Softwarerepositories. Wenn ein Agent einen Patch bereitstellen muss, weist er YUM zum Herunterladen und Installieren des Patches an. Falls Sie über Linux-Clientcomputer verfügen, die sich in einem getrennten Netzwerk befinden, kann der Agent YUM nicht verwenden und Sie müssen ein oder mehrere lokale Repositories einrichten.