Crear y editar una configuración de despliegue de parches para Linux

Una configuración de despliegue de parches para Linux define cómo se realizará el despliegue de parches. Hay distintas configuraciones de despliegue de parches separadas para el nuevo método de parcheado de Linux sin contenido y para el método de parcheado de Linux anterior basado en contenido. El método de aplicación de parches sin contenido nuevo realiza una búsqueda de todos los parches que faltan como parte de todas las configuraciones de implantación de parches.

Security Controls proporciona una configuración predefinida denominada Actualizar todo. Esta configuración especifica que el agente desplegará todos los parches que se identificaron como ausentes mediante un análisis de parches. No se usará un grupo de parches y no se llevará a cabo un reinicio posterior al despliegue.

No puede editar la configuración predefinida. Si la configuración predefinida no es adecuada para sus necesidades, puede crear una configuración personalizada, como se describe por separado a continuación para la aplicación de parches sin contenido y la aplicación de parches basada en contenido.

Para trabajar con una configuración de despliegue de parches de Linux sin contenido, haga lo siguiente:

  • Para crear una nueva configuración de despliegue:
    • Haga clic en Nuevo > Parche de Linux > Configuración de despliegue de parches
    • En la lista de Configuración de despliegue de parches de Linux (icono linux) del panel de navegación, haga clic con el botón derecho y seleccione Nueva configuración de despliegue de parches de Linux
  • Para editar una configuración existente, en la lista Configuración de despliegue de parches de Linux, haga doble clic en el nombre de configuración de despliegue

Campo Descripción

Nombre

El nombre que desea asignar a esta configuración.

Ruta de acceso

Esta casilla se utiliza para especificar la ruta de acceso a la carpeta en la que se guardará esta configuración en la lista Configuración de despliegue de parches de Linux del panel de navegación. Si no especifica una ruta, la configuración residirá en el nivel raíz de la lista Mi configuración de despliegue de parches de Linux. Para obtener más información, consulte Organizar la configuración y los grupos de parches de Linux.

Descripción

Una descripción de la configuración.

Desplegar todos los parches ausentes

Si esta opción está activada, se implantarán todos los parches que se hayan identificado como ausentes en el análisis que se ejecuta como parte de la implantación.

Desplegar los parches seleccionados

Si esta opción está activada, se implantarán solo los parches que se hayan identificado como ausentes en el análisis que se ejecuta como parte de la implantación.

  • Implementar por gravedad(Windows y Mac): si se activa, le permite especificar los tipos de parches y los niveles de gravedad que se deben incluir en el despliegue. Los iconos muestran qué distribuciones de Linux admiten cada nivel.
    • Seguridad: parches relacionados con boletines de seguridad. Puede elegir desplegar para uno o más niveles de importancia específicos.
      • Seguridad crítica: vulnerabilidades que puede aprovechar un atacante remoto sin autenticar o vulnerabilidades que infringen el aislamiento invitado/host del sistema operativo. El ataque pone en peligro la confidencialidad, integridad y disponibilidad de los datos del usuario, o los recursos de procesamiento sin interacción del usuario. Puede aprovecharse para propagar gusanos procedentes de Internet o para ejecutar código arbitrario entre las máquinas virtuales y el host.
      • Seguridad importante: las vulnerabilidades cuya vulnerabilidad de seguridad resulte en riesgo de confidencialidad, integridad o disponibilidad de los datos de usuario y de los recursos de procesamiento. Estos fallos pueden permitir que los usuarios locales obtengan privilegios, permitir que los usuarios remotos ejecuten código arbitrario, o que los usuarios locales y remotos causen denegaciones de servicio.
      • Seguridad moderada: los defectos donde la capacidad de vulnerar la seguridad se ve mitigada, en gran medida, por la configuración o por la dificultad de vulnerar la seguridad, pero en algunos escenarios de despliegue podrían llegar a comprometer la confidencialidad, integridad o disponibilidad de los datos de usuario y del procesamiento de los recursos. Son tipos de vulnerabilidades que podrían tener un impacto alto o importante, pero que se aprovechan menos en función de la evaluación técnica del fallo, o afectar a configuraciones improbables.
      • Seguridad bajao: todos los demás problemas que tengan un impacto en la seguridad. Vulnerabilidades que se cree que pueden aprovecharse con muchas dificultades, o que si se aprovechan tienen un impacto mínimo.
    • Corrección de errores: parches de proveedores que corrigen errores.
    • Mejora: parches de proveedores que proporcionan mejoras de funciones.

      • Mejora no está disponible para Oracle versión 7 y Red Hat versión 7.

  • Implementar por grupo de parches: si está habilitado, le permite especificar uno o más grupos de parches que contienen los parches que desea incluir en una implementación. Esta es una buena manera de asegurarse de que solo se despliegan los parches aprobados. Los parches ausentes que no estén incluidos en los grupos de parches seleccionados no se implementarán a menos que cumplan con el requisito especificado en la opción Implementar por gravedad.

Security Controls sigue la convención en el parcheado de dispositivos Linux actualizando siempre al último paquete disponible en el repositorio, incluso si se selecciona una versión anterior. Tenga en cuenta que para algunas distribuciones esta es la única opción disponible, ya que las versiones anteriores de un paquete no están disponibles en el repositorio.

Opciones de reinicio tras la implantación

Permite especificar si se permiten o no los reinicios posteriores al despliegue.

Puede especificar la configuración para la cuenta atrás de reinicio, etc. en la sección Parche de servidor/Linux de la pestaña Opciones de reinicio del agente del cuadro de diálogo Editor de políticas del agente (consulte Opciones de reinicio del agente).

Si selecciona Desplegar parches seleccionados, los paquetes que son dependencias de los avisos especificados se instalan además de los paquetes asociados a los avisos en los grupos de parches. Si a continuación establece Opciones de reinicio tras la implementación como Reiniciar cuando sea necesario, estas dependencias pueden provocar otro reinicio.

Recuerde que algunas actualizaciones requieren un reinicio y que en estos casos un equipo es vulnerable hasta que se reinicia, por lo que recomendamos No reiniciar nunca solo para servidores con ventanas de mantenimiento programadas.

Pestaña Utilizado por

Esta pestaña muestra las políticas de agente que están utilizando actualmente esta configuración. Es importante saberlo si se va a modificar la configuración, dado que informa de qué otros agentes se verán afectados.

Si un equipo de Oracle Linux tiene tanto el Red Hat Compatible Kernel (RHCK) como Unbreakable Enterprise Kernel (UEK), ambos kernels se analizan y se parchean. No obstante, dado que el kernel que no se ejecuta no se está ejecutando y, por tanto, no es vulnerable, sus avisos siempre se notifican como Instalado.

Para trabajar con una configuración de despliegue de parches de Linux basada en contenido, haga lo siguiente:

  • Para crear una nueva configuración de despliegue:
    • Haga clic en Nuevo > Parches de Linux (basado en contenido) > Configuración de despliegue de parches (basado en contenido)
    • En la lista de Configuración de despliegue de parches de Linux (basado en contenido) (icono linux) del panel de navegación, haga clic con el botón derecho y seleccione Nueva configuración de despliegue de parches de Linux
  • Para editar una configuración existente, en la lista Configuración de despliegue de parches de Linux, haga doble clic en el nombre de configuración de despliegue

Campo Descripción

Nombre

El nombre que desea asignar a esta configuración.

Ruta de acceso

Esta casilla se utiliza para especificar la ruta de acceso a la carpeta en la que se guardará esta configuración en la lista Configuración de despliegue de parches de Linux del panel de navegación. Si no especifica una ruta, la configuración residirá en el nivel raíz de la lista Mi configuración de despliegue de parches de Linux. Para obtener más información, consulte Organizar la configuración y los grupos de parches de Linux.

Descripción

Una descripción de la configuración.

Reinicio postdespliegue cuando lo necesiten los parches de destino

Si se habilita, especifica que Security Controls revisará los parches que se van a desplegar y determinará si es necesario reiniciar o no.

Si no habilita esta opción, no se llevará a cabo un reinicio después del despliegue.

Puede especificar la configuración para la cuenta atrás de reinicio, etc. en la sección Parche de servidor/Linux de la pestaña Opciones de reinicio del agente del cuadro de diálogo Editor de políticas del agente (consulte Opciones de reinicio del agente).

Desplegar todos los parches ausentes

Si se habilita, se desplegarán todos los parches que un análisis de parches identifique como ausentes.

Desplegar por grupo de parcehs

Si se habilita, solo se desplegarán los parches identificados como ausentes por un análisis de parches y que estén en los grupos de parches de Linux especificados.

Desplegar solo la versión explícita

Si se habilita, solo se desplegará la versión explícita del parche que se detectó como ausente. Si hay disponible una nueva versión del parche, no se desplegará.

Pestaña Utilizado por

Esta pestaña muestra las políticas de agente que están utilizando actualmente esta configuración. Es importante saberlo si se va a modificar la configuración, dado que informa de qué otros agentes se verán afectados.

Los despliegues se realizan usando YUM

Actualizador de Yellowdog, Modified (YUM) es una utilidad de línea de comando que se usa para recuperar, instalar y administrar los paquetes de RPM desde los repositorios de software oficiales de Red Hat y CentOS. Cuando un agente necesita desplegar un parche, lo hace indicando a YUM que descargue e instale el parche. Si tiene equipos de clientes Linux que residan en una red desconectada, el agente no podrá usar YUM y deberá ajustar uno o más repositorios locales.