Creazione e modifica di una configurazione di distribuzione patch Linux.
Una configurazione di distribuzione patch Linux definisce in che modo verrà eseguita una distribuzione patch. Esistono configurazioni di distribuzione patch separate per il nuovo metodo di applicazione patch Linux senza contenuto e per il precedente metodo di patch basato sui contenuti. Il nuovo metodo di applicazione patch senza contenuto esegue una scansione di tutte le patch mancanti come parte di tutte le configurazioni di distribuzione patch.
Security Controls fornisce una configurazione predefinita denominata Aggiorna tutto. Questa configurazione specifica che l'agente distribuirà tutte le patch identificate come mancanti da un'analisi patch. Non verrà utilizzato un gruppo di patch e non verrà eseguito alcun riavvio post distribuzione.
Non è possibile modificare la configurazione predefinita. Se la configurazione predefinita non è adeguata alle proprie esigenze, è possibile creare una configurazione personalizzata, come descritto separatamente di seguito per l'applicazione di patch senza contenuto e basata sul contenuto.
Applicazione patch senza contenuto
Per lavorare con una configurazione di distribuzione patch Linux senza contenuto, effettuare una delle seguenti operazioni:
- Per creare una nuova configurazione di distribuzione:
- Fare clic su Nuovo > Patch Linux > Configurazione distribuzione patch
- Nell'elenco Configurazioni distribuzione patch Linux (
) nel riquadro di navigazione, fare clic con il pulsante destro del mouse e selezionare Nuova configurazione di distribuzione patch Linux - Per modificare una configurazione esistente, nell'elenco Configurazioni distribuzione patch Linux fare doppio clic sul nome della configurazione di distribuzione
| Campo | Descrizioni |
|---|---|
|
Nome |
Il nome che si desidera assegnare a questa configurazione. |
|
Percorso |
Questa casella viene utilizzata per specificare il percorso della cartella in cui risiederà questa configurazione all’interno dell’elenco Configurazioni di distribuzione patch Linux nel riquadro di spostamento. Se non si specifica un percorso, la configurazione risiederà al livello radice dell'elenco Configurazioni di distribuzione patch Linux personali. Per ulteriori dettagli, vedere Organizzazione Gruppi e Configurazioni di Linux Patch. |
|
Descrizione |
Una descrizione della configurazione. |
|
Distribuisci tutte le patch mancanti |
Se abilitato, verranno distribuite tutte le patch identificate come mancanti dalla scansione eseguita come parte della distribuzione. |
|
Se abilitato, verranno distribuite solo le patch identificate come mancanti dalla scansione eseguita come parte della distribuzione e contenute nei gruppi di patch Linux specificati. Security Controls segue la convenzione di applicazione patch dei dispositivi Linux aggiornando sempre all'ultimo pacchetto disponibile nel deposito, anche se è stata selezionata una versione precedente. Si noti che per alcune distribuzioni questa è l'unica opzione disponibile, poiché le versioni precedenti di un pacchetto non sono disponibili nel deposito. |
|
|
Opzioni di riavvio post-distribuzione |
Consente di specificare se consentire o meno i riavvii post-distribuzione. Le impostazioni per il conto alla rovescia dei riavvii e simili si specificano nella sezione Patch Server/Linux della scheda Opzioni riavvio agente della finestra di dialogo Editor criteri agente (vedere Opzioni di riavvio per gli agenti). Se si seleziona Distribuisci patch selezionate, i pacchetti che sono dipendenze per gli avvisi specificati vengono installati in aggiunta ai pacchetti associati agli avvisi nei gruppi di patch. Se poi si imposta Opzioni di riavvio post-distribuzione su Riavvia quando necessario, queste dipendenze possono causare un ulteriore riavvio. Tenere presente che alcuni aggiornamenti richiedono un riavvio e che in questi casi un computer è vulnerabile finché non si riavvia, quindi si consiglia di Non riavviare mai solo per i server con finestre di manutenzione programmata. |
|
Scheda Usato da |
Questa scheda mostra i criteri agente che utilizzano attualmente questa configurazione. Ciò è importante da sapere qualora si stia considerando di modificare la configurazione, dato che consente di conoscere quali agenti sono interessati. |
Se un computer Oracle Linux ha sia il Red Hat Compatible Kernel (RHCK) che l'Unbreakable Enterprise Kernel (UEK), entrambi i kernel vengono analizzati e aggiornati con patch. Tuttavia, poiché il kernel non in esecuzione non è in esecuzione e quindi non è vulnerabile, i suoi avvisi sono sempre segnalati come Installato.
Applicazione patch basata sul contenuto
Per lavorare con una configurazione di distribuzione patch Linux basata sul contenuto, effettuare una delle seguenti operazioni:
- Per creare una nuova configurazione di distribuzione:
- Fare clic su Nuovo > Patch Linux (basata sul contenuto) > Configurazione distribuzione patch (basata sul contenuto)
- Nell'elenco Configurazioni distribuzione patch Linux (basata sul contenuto) (
) nel riquadro di navigazione, fare clic con il pulsante destro del mouse e selezionare Nuova configurazione di distribuzione patch Linux - Per modificare una configurazione esistente, nell'elenco Configurazioni distribuzione patch Linux fare doppio clic sul nome della configurazione di distribuzione
| Campo | Descrizioni |
|---|---|
|
Nome |
Il nome che si desidera assegnare a questa configurazione. |
|
Percorso |
Questa casella viene utilizzata per specificare il percorso della cartella in cui risiederà questa configurazione all’interno dell’elenco Configurazioni di distribuzione patch Linux nel riquadro di spostamento. Se non si specifica un percorso, la configurazione risiederà al livello radice dell'elenco Configurazioni di distribuzione patch Linux personali. Per ulteriori dettagli, vedere Organizzazione Gruppi e Configurazioni di Linux Patch. |
|
Descrizione |
Una descrizione della configurazione. |
|
Riavvio post distribuzione quando richiesto dalle patch di destinazione |
Se abilitato, specifica che Security Controls esaminerà le patch in distribuzione e determinerà se un riavvio sia richiesto o meno. Se non si abilita questa opzione, non verrà eseguito alcun riavvio dopo la distribuzione. Le impostazioni per il conto alla rovescia dei riavvii e simili si specificano nella sezione Patch Server/Linux della scheda Opzioni riavvio agente della finestra di dialogo Editor criteri agente (vedere Opzioni di riavvio per gli agenti). |
|
Distribuisci tutte le patch mancanti |
Se abilitato, tutte le patch identificate come mancanti da un'analisi patch verranno distribuite. |
|
Distribuisci per gruppo di patch |
Se abilitato, verranno distribuite solo le patch identificate come mancanti da un'analisi patch e contenute all'interno dei gruppi patch Linux specificati. |
|
Distribuisci solo versione esplicita |
Se abilitato, verrà distribuita solo la versione esplicita della patch rilevata come mancante. Se risulta disponibile una versione più recente della patch, non verrà distribuita. |
|
Scheda Usato da |
Questa scheda mostra i criteri agente che utilizzano attualmente questa configurazione. Ciò è importante da sapere qualora si stia considerando di modificare la configurazione, dato che consente di conoscere quali agenti sono interessati. |
Le distribuzioni vengono eseguite usando YUM
Yellowdog Updater, Modified (YUM) è un'utilità a riga di comando usata per recuperare, installare e gestire pacchetti RPM dai repository software ufficiali di Red Hat e CentOS. Quando un agente ha bisogno di distribuire una patch, lo fa istruendo YUM a scaricare e installare la patch. Se si dispone di macchine client Linux che risiedono in una rete disconnessa, l'agente non sarà in grado di utilizzare YUM e sarà necessario configurare uno o più repository locali.