Création et modification d'une configuration de déploiement de correctifs Linux

Une configuration de déploiement de correctifs Linux détermine la façon dont le déploiement de correctifs va être effectué. Il existe des configurations de déploiement de correctifs distinctes pour la nouvelle méthode d'application de correctifs Linux sans contenu et la méthode précédente, basée sur le contenu. La nouvelle méthode d'application de correctifs sans contenu exécute une analyse pour trouver tous les correctifs manquants avec toutes les configurations de déploiement de correctifs.

Security Controls fournit une seule configuration prédéfinie, nommée Tout mettre à jour. Cette configuration spécifie que l'agent doit déployer tous les correctifs identifiés comme manquants par une analyse des correctifs. Le système n'utilise pas de groupe de correctifs et n'effectue pas de redémarrage après le déploiement.

Vous ne pouvez pas modifier la configuration prédéfinie. Si la configuration prédéfinie ne répond pas à vos besoins, vous pouvez créer une configuration personnalisée, comme décrit ci-dessous, respectivement pour les correctifs sans contenu et les correctifs basés sur le contenu.

Correctifs sans contenu

Pour manipuler une configuration de déploiement sans contenu de correctifs Linux, effectuez l'une des opérations suivantes :

Pour créer une nouvelle configuration de déploiement :

Cliquez sur Nouveau > Correctif Linux > Configuration de déploiement de correctifs.
Dans la liste Configurations de déploiement de correctifs Linux () du volet de navigation, cliquez avec le bouton droit et sélectionnez Nouvelle configuration de déploiement de correctifs Linux.

Pour modifier une configuration existante, accédez à la liste Configurations de déploiement de correctifs Linux et double-cliquez sur le nom de la configuration de déploiement.

Champ	Descriptions
Nom	Nom à affecter à cette configuration.
Chemin	Ce champ permet de spécifier le chemin du dossier où cette configuration doit résider, dans la liste Configurations de déploiement de correctifs Linux du volet de navigation. Si vous ne spécifiez aucun chemin, la configuration est stockée au niveau racine de la liste Mes configurations de déploiement de correctifs Linux. Pour en savoir plus, reportez-vous à « Organisation des groupes de correctifs et configurations Linux ».
Description	Description de la configuration.
Déployer tous les correctifs manquants	Si vous activez cette option, tous les correctifs identifiés comme manquants par l'analyse exécutée lors du déploiement sont déployés.
Déployer les correctifs sélectionnés	Si vous activez cette option, seuls les correctifs identifiés comme manquants par l'analyse exécutée lors du déploiement et qui correspondent aux critères configurés sont déployés. Déployer par gravité : Si vous activez cette option, vous pouvez spécifier les types de correctif et les niveaux de gravité à inclure dans un déploiement. Les icônes indiquent quelles distributions Linux prennent en charge chaque niveau. Sécurité : Correctifs liés aux bulletins de sécurité. Vous pouvez choisir de déployer un ou plusieurs niveaux de gravité spécifiques. Sécurité critique : Vulnérabilités pouvant être exploitées par un attaquant distant non authentifié ou vulnérabilités qui brisent l'isolement du système d'exploitation invité/hôte. Cette exploitation met en danger la confidentialité, l'intégrité, la disponibilité des données utilisateur et des ressources de traitement sans intervention de l'utilisateur. Cette exploitation peut être utilisée pour propager un ver Internet, ou pour exécuter un code arbitraire entre les machines virtuelles et l'hôte. Sécurité importante : Vulnérabilités dont l'exploitation compromet la confidentialité, l'intégrité ou la disponibilité des données utilisateur et des ressources de traitement. Ces failles peuvent permettre à des utilisateurs locaux d'obtenir des privilèges, permettre à des utilisateurs distants authentifiés d'exécuter un code arbitraire, ou permettre à un utilisateur local ou distant de provoquer facilement un déni de service (DoS). Sécurité modérée : Failles dans lesquelles les possibilités d'exploitation des vulnérabilités sont fortement atténuées par la configuration ou la difficulté d'utilisation de ces vulnérabilités, mais qui, dans certains scénarios de déploiement, peuvent tout de même compromettre la confidentialité, l'intégrité ou la disponibilité des données utilisateur et des ressources de traitement. Ce type de vulnérabilité peut avoir un impact important, voire essentiel, mais son exploitation est plus difficile en raison de l'évaluation technique de la faille ou affecte uniquement des configurations très rares. Sécurité faible : Tous les autres incidents qui ont un impact sur la sécurité. Vulnérabilités dont l'exploitation est considérée comme extrêmement difficile ou dont l'exploitation aurait un impact vraiment minimal. Correction de bug: Correctifs du fournisseur qui corrigent les bugs. Amélioration: Correctifs du fournisseur qui fournissent des améliorations de fonctionnalités. Amélioration n'est pas disponible pour Oracle v7 et Red Hat v7. Déployer par groupe de correctifs : Si cette option est activée, vous permet de spécifier un ou plusieurs groupes de correctifs contenant les correctifs que vous souhaitez inclure dans un déploiement. C'est une bonne façon de s'assurer que seuls les correctifs approuvés sont déployés. Les correctifs manquants non contenus dans les groupes de correctifs sélectionnés ne seront pas déployés à moins qu'ils ne répondent aux exigences spécifiées dans l'option Déployer par gravité. Security Controls respecte les conventions d'application de correctifs des périphériques Linux : il met toujours le système à jour vers le paquet le plus récent disponible dans le référentiel, même si vous sélectionnez une version plus ancienne. Notez que, pour certaines distributions, c'est en fait la seule option disponible, car les anciennes versions du paquet ne sont pas disponibles dans le référentiel.
Options de redémarrage après déploiement	Vous permet de spécifier s'il faut ou non autoriser les redémarrages après déploiement. Vous précisez les paramètres de compte à rebours avant déploiement, etc. dans la section Serveur/Correctif Linux de l'onglet Options de redémarrage de l'agent dans la boîte de dialogue Éditeur de stratégie d'agent (voir « Options de redémarrage de l'agent »). Si vous sélectionnez Déployer les correctifs sélectionnés, les paquets qui constituent des dépendances des conseils (Advisory) sélectionnés sont installés en plus des paquets associés aux conseils dans les groupes de correctifs. Si vous définissez ensuite Options de redémarrage après déploiement sur Redémarrer si nécessaire, ces dépendances peuvent provoquer un redémarrage supplémentaire. Attention, certaines mises à jour exigent un redémarrage et, dans ce cas, la machine est vulnérable tant qu'elle n'a pas redémarré. Nous vous recommandons donc de réserver l'option Ne jamais redémarrer aux serveurs dotés de fenêtres de maintenance planifiées.
Onglet Utilisé par	Cet onglet montre les stratégies d'agent qui utilisent actuellement cette configuration. Ces détails sont importants si vous prévoyez de modifier la configuration, car cet écran indique les agents affectés.

Si une machine Oracle Linux possède à la fois le noyau Red Hat Compatible Kernel (RHCK) et le noyau Unbreakable Enterprise Kernel (UEK), les deux sont analysés et reçoivent des correctifs. Cependant, comme le noyau qui n'est pas en cours d'exécution est vulnérable, ses conseils (Advisory) sont toujours signalés comme Installé.

Correctifs basés sur le contenu

Pour manipuler une configuration de déploiement de correctifs Linux basé sur le contenu, effectuez l'une des opérations suivantes :

Pour créer une nouvelle configuration de déploiement :

Cliquez sur Nouveau > Correctif Linux (basé sur le contenu) > Configuration de déploiement des correctifs (basés sur le contenu).
Dans la liste Configuration Linux de déploiement des correctifs (basés sur le contenu) () du volet de navigation, cliquez avec le bouton droit et sélectionnez Nouvelle configuration de déploiement de correctifs Linux.

Pour modifier un groupe existant, accédez à la liste Configurations de déploiement de correctifs Linux et double-cliquez sur le nom de la configuration de déploiement.

Champ	Descriptions
Nom	Nom à affecter à cette configuration.
Chemin	Ce champ permet de spécifier le chemin du dossier où cette configuration doit résider, dans la liste Configurations de déploiement de correctifs Linux du volet de navigation. Si vous ne spécifiez aucun chemin, la configuration est stockée au niveau racine de la liste Mes configurations de déploiement de correctifs Linux. Pour en savoir plus, reportez-vous à « Organisation des groupes de correctifs et configurations Linux ».
Description	Description de la configuration.
Redémarrage après le déploiement si nécessaire pour les correctifs cible	Si cette option est activée, Security Controls passe en revue les correctifs déployés et détermine si un redémarrage est nécessaire. Si cette option n'est pas activée, aucun redémarrage n'est effectué après le déploiement. Vous précisez les paramètres de compte à rebours avant déploiement, etc. dans la section Serveur/Correctif Linux de l'onglet Options de redémarrage de l'agent dans la boîte de dialogue Éditeur de stratégie d'agent (voir « Options de redémarrage de l'agent »).
Déployer tous les correctifs manquants	Si vous activez cette option, tous les correctifs identifiés comme manquants par une analyse des correctifs sont déployés.
Déployer par groupe de correctifs	Si vous activez cette option, seuls les correctifs identifiés comme manquants par une analyse des correctifs et faisant partie du groupe de correctifs Linux indiqué sont déployés.
Déployer uniquement la version explicite	Si vous activez cette option, seule la version explicite du correctif signalé comme manquant est déployée. Si une version plus récente de ce correctif est disponible, elle n'est pas déployée.
Onglet Utilisé par	Cet onglet montre les stratégies d'agent qui utilisent actuellement cette configuration. Ces détails sont importants si vous prévoyez de modifier la configuration, car cet écran indique les agents affectés.

Déploiements exécutés avec YUM

YUM (Yellowdog Updater, Modified) est un utilitaire de ligne de commande qui sert à récupérer, à installer et à gérer les paquets RPM depuis les référentiels officiels de logiciels Red Hat et CentOS. Lorsqu'un agent a besoin de déployer un correctif, il demande à YUM de télécharger et d'installer ce correctif. Si vous utilisez des machines client Linux qui résident dans un environnement hors connexion, l'agent ne peut pas utiliser YUM et vous devez configurer un ou plusieurs référentiels locaux.