Présentation de la gestion des correctifs Linux
Seules les machines Linux répondant à la configuration minimale requise peuvent être analysées par un agent et recevoir des correctifs. Pour en savoir plus, reportez-vous à « Configuration système requise ».
Les machines Linux sont analysées à l'aide d'agents et reçoivent des correctifs. Le processus dépend de la méthode utilisée, à savoir la nouvelle méthode de correctifs sans contenu Linux ou l'ancienne méthode basée sur le contenu. Pour en savoir plus sur ce changement, reportez-vous à « Correctifs sans contenu Linux ».
Voir la vidéo associée (02:44)
- Identifiez vos machines Linux.
- Si vous connaissez l'identité ou la localisation de vos machines Linux, vous pouvez créer un groupe de machines Linux.
- Si vous ne connaissez pas l'identité et l'emplacement de toutes vos machines Linux, exécutez une analyse d'état de l'alimentation sur le groupe Mon domaine ou Réseau entier. L'analyse identifie le type d'OS de chaque machine du groupe et vos machines Linux sont affichées dans l'onglet Correctif Linux de la vue Machine.
- Créez un ou plusieurs groupes de correctifs Linux et configurations.
- Créez un groupe de correctifs Linux : L'opération est facultative, mais elle permet de mieux contrôler vos analyses et déploiements, car vous pouvez lancer une analyse avec la mention « (basés sur le contenu uniquement) » ou déployer un jeu de correctifs spécifique. Vous pouvez créer des groupes de correctifs séparés pour les correctifs Linux sans contenu et ceux basés sur le contenu.
- Créez une configuration d'analyse des correctifs Linux (basés sur le contenu uniquement) : Vous utilisez cette configuration pour spécifier précisément la façon dont vos machines Linux doivent être analysées. L'application de correctifs sans contenu exécute toujours une analyse pour trouver tous les correctifs manquants avant le déploiement, quelle que soit la méthode, si bien qu'elle ne nécessite aucune configuration d'analyse des correctifs.
- Créez une configuration de déploiement de correctifs Linux : Vous utilisez cette configuration pour spécifier précisément la façon dont les correctifs doivent être déployés vers vos machines Linux. Vous pouvez créer des configurations de déploiement de correctifs séparées pour les correctifs Linux sans contenu et ceux basés sur le contenu.
- Créez une ou plusieurs stratégies d'agent.
- Installez la stratégie d'agent.
- Dans votre groupe de machines Linux, sélectionnez dans le volet inférieur les machines voulues, puis cliquez sur Installer/Réinstaller l'agent.
- Dans la vue Machine, cliquez avec le bouton droit sur les machines Linux et installez la stratégie d'agent voulue.
- Utilisez l'agent.
Une stratégie d'agent définit exactement ce qu'un agent peut ou ne peut pas faire. Vous créez une ou plusieurs tâches de correctif Linux dans la stratégie d'agent. Dans chaque tâche, vous spécifiez le moment où la tâche doit être exécutée sur une machine d'agent et les configurations à utiliser pendant les processus d'analyse et de déploiement.
Il est tout à fait possible de combiner des tâches Windows et des tâches Linux dans la même stratégie d'agent. Les tâches Windows sont ignorées par vos machines Linux et vice versa.
Chaque machine cible Linux doit être correctement configurée pour que vous puissiez effectuer l'installation en mode Push d'un agent. Pour en savoir plus, reportez-vous à « Configuration système requise ».
L'une des options consiste à exécuter une « Installation en mode Push » de l'agent depuis la console Security Controls. Vous disposez pour cela de plusieurs méthodes :
Si vous avez réalisé une analyse d'état de l'alimentation sur vos machines Linux, vous pouvez également réaliser cette étape depuis la liste Résultats du volet de navigation.
Autre possibilité : vous pouvez installer manuellement un agent sur chacune de vos machines Linux. Pour en savoir plus, reportez-vous à « Installation manuelle des agents ».
L'agent exécute automatiquement ses tâches et signale les résultats à la console. Vous pouvez utiliser la vue Machine ou la vue d'analyse pour gérer les machines qui exécutent une stratégie d'agent. Pour contrôler manuellement l'agent, vous employez un utilitaire de ligne de commande. Pour en savoir plus, reportez-vous à « Utilisation d'un agent sur une machine cible ».
Lorsqu'un agent Linux doit déployer un correctif, il le fait à l'aide de YUM (Yellowdog Updater, Modified). YUM est un utilitaire de ligne de commande qui sert à récupérer, à installer et à gérer les paquets RPM. Si vous utilisez des machines client Linux qui résident dans un environnement hors connexion, l'agent ne peut pas utiliser YUM et vous devez configurer un ou plusieurs référentiels locaux.
Modules et versions
Vous ne pouvez pas toujours installer la dernière version d'un paquet sur une machine Linux.
Pour Red Hat Linux et les distributions qui en dérivent, il est possible d'installer sur une machine des modules correspondant à plusieurs flux, alors qu'un seul peut être activé sur une machine.
Prenons un exemple : Un conseil (Advisory) veut mettre à jour un paquet dans un module de ce type.
Si la nouvelle version du paquet correspond à un flux spécifique, différent du flux activé sur la machine, le paquet de mise à jour n'est pas compatible et vous ne pouvez pas l'installer. Par conséquent, le fournisseur peut mettre à disposition une version du module plus récente que celle pouvant être installée sur la machine.
De même, il semble que le dernier paquet n'a pas été installé en raison des dépendances de modules. Par exemple, le module perl-DBD-SQLite semble comprendre plusieurs mises à jour de module pour le paquet perl-DBD-SQLite :
- perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+55ca6856.x86_64
- perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+f62455ee.x86_64
- perl-DBD-SQLite-0:1.58-2.module+el8.2.0+4265+ff794501.x86_64
- perl-DBD-SQLite-0:1.58-2.module+el8.6.0+13408+461b4ab5.x86_64
Cependant, chacun de ces paquets comporte une dépendance envers un flux perl spécifique. Le premier ne peut être installé que si perl:5.24 est activé et le dernier, seulement si perl:5.32 est activé. Ainsi, il peut être impossible d'installer sur une machine spécifique ce qui semble être la dernière version d'un paquet.