Création et modification d'une configuration de déploiement de correctifs Linux
Une configuration de déploiement de correctifs Linux détermine la façon dont le déploiement de correctifs va être effectué. Il existe des configurations de déploiement de correctifs distinctes pour la nouvelle méthode d'application de correctifs Linux sans contenu et la méthode précédente, basée sur le contenu. La nouvelle méthode d'application de correctifs sans contenu exécute une analyse pour trouver tous les correctifs manquants avec toutes les configurations de déploiement de correctifs.
Security Controls fournit une seule configuration prédéfinie, nommée Tout mettre à jour. Cette configuration spécifie que l'agent doit déployer tous les correctifs identifiés comme manquants par une analyse des correctifs. Le système n'utilise pas de groupe de correctifs et n'effectue pas de redémarrage après le déploiement.
Vous ne pouvez pas modifier la configuration prédéfinie. Si la configuration prédéfinie ne répond pas à vos besoins, vous pouvez créer une configuration personnalisée, comme décrit ci-dessous, respectivement pour les correctifs sans contenu et les correctifs basés sur le contenu.
Correctifs sans contenu
Pour manipuler une configuration de déploiement sans contenu de correctifs Linux, effectuez l'une des opérations suivantes :
- Pour créer une nouvelle configuration de déploiement :
- Cliquez sur Nouveau > Correctif Linux > Configuration de déploiement de correctifs.
- Dans la liste Configurations de déploiement de correctifs Linux (
) du volet de navigation, cliquez avec le bouton droit et sélectionnez Nouvelle configuration de déploiement de correctifs Linux. - Pour modifier une configuration existante, accédez à la liste Configurations de déploiement de correctifs Linux et double-cliquez sur le nom de la configuration de déploiement.
| Champ | Descriptions |
|---|---|
|
Nom |
Nom à affecter à cette configuration. |
|
Chemin |
Ce champ permet de spécifier le chemin du dossier où cette configuration doit résider, dans la liste Configurations de déploiement de correctifs Linux du volet de navigation. Si vous ne spécifiez aucun chemin, la configuration est stockée au niveau racine de la liste Mes configurations de déploiement de correctifs Linux. Pour en savoir plus, reportez-vous à « Organisation des groupes de correctifs et configurations Linux ». |
|
Description |
Description de la configuration. |
|
Déployer tous les correctifs manquants |
Si vous activez cette option, tous les correctifs identifiés comme manquants par l'analyse exécutée lors du déploiement sont déployés. |
|
Si vous activez cette option, seuls les correctifs identifiés comme manquants par l'analyse exécutée lors du déploiement et faisant partie du groupe de correctifs Linux indiqué sont déployés. Security Controls respecte les conventions d'application de correctifs des périphériques Linux : il met toujours le système à jour vers le paquet le plus récent disponible dans le référentiel, même si vous sélectionnez une version plus ancienne. Notez que, pour certaines distributions, c'est en fait la seule option disponible, car les anciennes versions du paquet ne sont pas disponibles dans le référentiel. |
|
|
Options de redémarrage après déploiement |
Vous permet de spécifier s'il faut ou non autoriser les redémarrages après déploiement. Vous précisez les paramètres de compte à rebours avant déploiement, etc. dans la section Serveur/Correctif Linux de l'onglet Options de redémarrage de l'agent dans la boîte de dialogue Éditeur de stratégie d'agent (voir « Options de redémarrage de l'agent »). Si vous sélectionnez Déployer les correctifs sélectionnés, les paquets qui constituent des dépendances des conseils (Advisory) sélectionnés sont installés en plus des paquets associés aux conseils dans les groupes de correctifs. Si vous définissez ensuite Options de redémarrage après déploiement sur Redémarrer si nécessaire, ces dépendances peuvent provoquer un redémarrage supplémentaire. Attention, certaines mises à jour exigent un redémarrage et, dans ce cas, la machine est vulnérable tant qu'elle n'a pas redémarré. Nous vous recommandons donc de réserver l'option Ne jamais redémarrer aux serveurs dotés de fenêtres de maintenance planifiées. |
|
Onglet Utilisé par |
Cet onglet montre les stratégies d'agent qui utilisent actuellement cette configuration. Ces détails sont importants si vous prévoyez de modifier la configuration, car cet écran indique les agents affectés. |
Si une machine Oracle Linux possède à la fois le noyau Red Hat Compatible Kernel (RHCK) et le noyau Unbreakable Enterprise Kernel (UEK), les deux sont analysés et reçoivent des correctifs. Cependant, comme le noyau qui n'est pas en cours d'exécution est vulnérable, ses conseils (Advisory) sont toujours signalés comme Installé.
Correctifs basés sur le contenu
Pour manipuler une configuration de déploiement de correctifs Linux basé sur le contenu, effectuez l'une des opérations suivantes :
- Pour créer une nouvelle configuration de déploiement :
- Cliquez sur Nouveau > Correctif Linux (basé sur le contenu) > Configuration de déploiement des correctifs (basés sur le contenu).
- Dans la liste Configuration Linux de déploiement des correctifs (basés sur le contenu) (
) du volet de navigation, cliquez avec le bouton droit et sélectionnez Nouvelle configuration de déploiement de correctifs Linux. - Pour modifier un groupe existant, accédez à la liste Configurations de déploiement de correctifs Linux et double-cliquez sur le nom de la configuration de déploiement.
| Champ | Descriptions |
|---|---|
|
Nom |
Nom à affecter à cette configuration. |
|
Chemin |
Ce champ permet de spécifier le chemin du dossier où cette configuration doit résider, dans la liste Configurations de déploiement de correctifs Linux du volet de navigation. Si vous ne spécifiez aucun chemin, la configuration est stockée au niveau racine de la liste Mes configurations de déploiement de correctifs Linux. Pour en savoir plus, reportez-vous à « Organisation des groupes de correctifs et configurations Linux ». |
|
Description |
Description de la configuration. |
|
Redémarrage après le déploiement si nécessaire pour les correctifs cible |
Si cette option est activée, Security Controls passe en revue les correctifs déployés et détermine si un redémarrage est nécessaire. Si cette option n'est pas activée, aucun redémarrage n'est effectué après le déploiement. Vous précisez les paramètres de compte à rebours avant déploiement, etc. dans la section Serveur/Correctif Linux de l'onglet Options de redémarrage de l'agent dans la boîte de dialogue Éditeur de stratégie d'agent (voir « Options de redémarrage de l'agent »). |
|
Déployer tous les correctifs manquants |
Si vous activez cette option, tous les correctifs identifiés comme manquants par une analyse des correctifs sont déployés. |
|
Déployer par groupe de correctifs |
Si vous activez cette option, seuls les correctifs identifiés comme manquants par une analyse des correctifs et faisant partie du groupe de correctifs Linux indiqué sont déployés. |
|
Déployer uniquement la version explicite |
Si vous activez cette option, seule la version explicite du correctif signalé comme manquant est déployée. Si une version plus récente de ce correctif est disponible, elle n'est pas déployée. |
|
Onglet Utilisé par |
Cet onglet montre les stratégies d'agent qui utilisent actuellement cette configuration. Ces détails sont importants si vous prévoyez de modifier la configuration, car cet écran indique les agents affectés. |
Déploiements exécutés avec YUM
YUM (Yellowdog Updater, Modified) est un utilitaire de ligne de commande qui sert à récupérer, à installer et à gérer les paquets RPM depuis les référentiels officiels de logiciels Red Hat et CentOS. Lorsqu'un agent a besoin de déployer un correctif, il demande à YUM de télécharger et d'installer ce correctif. Si vous utilisez des machines client Linux qui résident dans un environnement hors connexion, l'agent ne peut pas utiliser YUM et vous devez configurer un ou plusieurs référentiels locaux.