Creazione e modifica di una configurazione di distribuzione patch Linux.

Una configurazione di distribuzione patch Linux definisce in che modo verrà eseguita una distribuzione patch. Esistono configurazioni di distribuzione patch separate per il nuovo metodo di applicazione patch Linux senza contenuto e per il precedente metodo di patch basato sui contenuti. Il nuovo metodo di applicazione patch senza contenuto esegue una scansione di tutte le patch mancanti come parte di tutte le configurazioni di distribuzione patch.

Security Controls fornisce una configurazione predefinita denominata Aggiorna tutto. Questa configurazione specifica che l'agente distribuirà tutte le patch identificate come mancanti da un'analisi patch. Non verrà utilizzato un gruppo di patch e non verrà eseguito alcun riavvio post distribuzione.

Non è possibile modificare la configurazione predefinita. Se la configurazione predefinita non è adeguata alle proprie esigenze, è possibile creare una configurazione personalizzata, come descritto separatamente di seguito per l'applicazione di patch senza contenuto e basata sul contenuto.

Per lavorare con una configurazione di distribuzione patch Linux senza contenuto, effettuare una delle seguenti operazioni:

  • Per creare una nuova configurazione di distribuzione:
    • Fare clic su Nuovo > Patch Linux > Configurazione distribuzione patch
    • Nell'elenco Configurazioni distribuzione patch Linux (icona linux) nel riquadro di navigazione, fare clic con il pulsante destro del mouse e selezionare Nuova configurazione di distribuzione patch Linux
  • Per modificare una configurazione esistente, nell'elenco Configurazioni distribuzione patch Linux fare doppio clic sul nome della configurazione di distribuzione

Campo Descrizioni

Nome

Il nome che si desidera assegnare a questa configurazione.

Percorso

Questa casella viene utilizzata per specificare il percorso della cartella in cui risiederà questa configurazione all’interno dell’elenco Configurazioni di distribuzione patch Linux nel riquadro di spostamento. Se non si specifica un percorso, la configurazione risiederà al livello radice dell'elenco Configurazioni di distribuzione patch Linux personali. Per ulteriori dettagli, vedere Organizzazione Gruppi e Configurazioni di Linux Patch.

Descrizione

Una descrizione della configurazione.

Distribuisci tutte le patch mancanti

Se abilitato, verranno distribuite tutte le patch identificate come mancanti dalla scansione eseguita come parte della distribuzione.

Distribuisci patch selezionate

Se abilitato, verranno distribuite solo le patch identificate come mancanti dalla scansione eseguita come parte della distribuzione e che corrispondono ai criteri configurati.

  • Distribuisci per gravità: se attivata, consente di specificare i tipi di patch e i livelli di gravità da includere in una distribuzione. Le icone mostrano quali distribuzioni Linux supportano ciascun livello.
    • Sicurezza: le patch associate ai bollettini di sicurezza. È possibile scegliere di distribuire uno o più livelli specifici di gravità.
      • Critica per la sicurezza: vulnerabilità sfruttabili da un utente remoto non autenticato o vulnerabilità che violano l'isolamento del sistema operativo guest/host. L'exploit compromette la riservatezza, l'integrità e la disponibilità dei dati degli utenti o comporta l'elaborazione delle risorse senza l'interazione degli utenti. Può inoltre essere sfruttato per propagare un worm via Internet o eseguire codice arbitrario tra le macchine virtuali e l'host.
      • Importante per la sicurezza: vulnerabilità il cui exploit compromette la riservatezza, l'integrità o la disponibilità dei dati degli utenti e comporta l'elaborazione delle risorse. Tali difetti possono comportare l'acquisizione di privilegi da parte di utenti locali, consentire agli utenti remoti autenticati di eseguire codice arbitrario o permettere a utenti locali o remoti di lanciare facilmente un attacco Denial of Service.
      • Moderata per la sicurezza: difetti in cui la capacità di eseguire un exploit viene mitigata a un livello significativo mediante la configurazione o la difficoltà di eseguire un exploit, tuttavia in determinati scenari di distribuzione possono comunque compromettere la riservatezza, l'integrità o la disponibilità dei dati degli utenti e l'elaborazione delle risorse. Questi sono i tipi di vulnerabilità che pur potendo avere un impatto critico o importante sono più difficili da sfruttare in base a una valutazione tecnica del difetto o perché interessano configurazioni poco diffuse.
      • Bassa per la sicurezza: tutti gli altri problemi con un impatto sulla sicurezza. Vulnerabilità il cui exploit è ritenuto estremamente difficile o che avrebbe comunque un impatto minimo.
    • Risoluzione di bug: patch del fornitore che risolvono bug.
    • Ottimizzazione: patch del fornitore che consentono di ottimizzare le funzionalità.

      • L'ottimizzazione non è disponibile per Oracle v7 e Red Hat v7.

  • Distribuisci per gruppo di patch: se abilitato, consente di specificare uno o più gruppi di patch che contengono le patch da includere in una distribuzione. Questo rappresenta un buon modo per assicurarsi che vengano distribuite solo le patch approvate. Le patch mancanti non contenute nei gruppi di patch selezionati non vengono distribuite, a meno che non soddisfino i requisiti specificati nell'opzione Distribuisci per gravità.

Security Controls segue la convenzione di applicazione patch dei dispositivi Linux aggiornando sempre all'ultimo pacchetto disponibile nel deposito, anche se è stata selezionata una versione precedente. Si noti che per alcune distribuzioni questa è l'unica opzione disponibile, poiché le versioni precedenti di un pacchetto non sono disponibili nel deposito.

Opzioni di riavvio post-distribuzione

Consente di specificare se consentire o meno i riavvii post-distribuzione.

Le impostazioni per il conto alla rovescia dei riavvii e simili si specificano nella sezione Patch Server/Linux della scheda Opzioni riavvio agente della finestra di dialogo Editor criteri agente (vedere Opzioni di riavvio per gli agenti).

Se si seleziona Distribuisci patch selezionate, i pacchetti che sono dipendenze per gli avvisi specificati vengono installati in aggiunta ai pacchetti associati agli avvisi nei gruppi di patch. Se poi si imposta Opzioni di riavvio post-distribuzione su Riavvia quando necessario, queste dipendenze possono causare un ulteriore riavvio.

Tenere presente che alcuni aggiornamenti richiedono un riavvio e che in questi casi un computer è vulnerabile finché non si riavvia, quindi si consiglia di Non riavviare mai solo per i server con finestre di manutenzione programmata.

Scheda Usato da

Questa scheda mostra i criteri agente che utilizzano attualmente questa configurazione. Ciò è importante da sapere qualora si stia considerando di modificare la configurazione, dato che consente di conoscere quali agenti sono interessati.

Se un computer Oracle Linux ha sia il Red Hat Compatible Kernel (RHCK) che l'Unbreakable Enterprise Kernel (UEK), entrambi i kernel vengono analizzati e aggiornati con patch. Tuttavia, poiché il kernel non in esecuzione non è in esecuzione e quindi non è vulnerabile, i suoi avvisi sono sempre segnalati come Installato.

Per lavorare con una configurazione di distribuzione patch Linux basata sul contenuto, effettuare una delle seguenti operazioni:

  • Per creare una nuova configurazione di distribuzione:
    • Fare clic su Nuovo > Patch Linux (basata sul contenuto) > Configurazione distribuzione patch (basata sul contenuto)
    • Nell'elenco Configurazioni distribuzione patch Linux (basata sul contenuto) (icona linux basata sul contenuto) nel riquadro di navigazione, fare clic con il pulsante destro del mouse e selezionare Nuova configurazione di distribuzione patch Linux
  • Per modificare una configurazione esistente, nell'elenco Configurazioni distribuzione patch Linux fare doppio clic sul nome della configurazione di distribuzione

Campo Descrizioni

Nome

Il nome che si desidera assegnare a questa configurazione.

Percorso

Questa casella viene utilizzata per specificare il percorso della cartella in cui risiederà questa configurazione all’interno dell’elenco Configurazioni di distribuzione patch Linux nel riquadro di spostamento. Se non si specifica un percorso, la configurazione risiederà al livello radice dell'elenco Configurazioni di distribuzione patch Linux personali. Per ulteriori dettagli, vedere Organizzazione Gruppi e Configurazioni di Linux Patch.

Descrizione

Una descrizione della configurazione.

Riavvio post distribuzione quando richiesto dalle patch di destinazione

Se abilitato, specifica che Security Controls esaminerà le patch in distribuzione e determinerà se un riavvio sia richiesto o meno.

Se non si abilita questa opzione, non verrà eseguito alcun riavvio dopo la distribuzione.

Le impostazioni per il conto alla rovescia dei riavvii e simili si specificano nella sezione Patch Server/Linux della scheda Opzioni riavvio agente della finestra di dialogo Editor criteri agente (vedere Opzioni di riavvio per gli agenti).

Distribuisci tutte le patch mancanti

Se abilitato, tutte le patch identificate come mancanti da un'analisi patch verranno distribuite.

Distribuisci per gruppo di patch

Se abilitato, verranno distribuite solo le patch identificate come mancanti da un'analisi patch e contenute all'interno dei gruppi patch Linux specificati.

Distribuisci solo versione esplicita

Se abilitato, verrà distribuita solo la versione esplicita della patch rilevata come mancante. Se risulta disponibile una versione più recente della patch, non verrà distribuita.

Scheda Usato da

Questa scheda mostra i criteri agente che utilizzano attualmente questa configurazione. Ciò è importante da sapere qualora si stia considerando di modificare la configurazione, dato che consente di conoscere quali agenti sono interessati.

Le distribuzioni vengono eseguite usando YUM

Yellowdog Updater, Modified (YUM) è un'utilità a riga di comando usata per recuperare, installare e gestire pacchetti RPM dai repository software ufficiali di Red Hat e CentOS. Quando un agente ha bisogno di distribuire una patch, lo fa istruendo YUM a scaricare e installare la patch. Se si dispone di macchine client Linux che risiedono in una rete disconnessa, l'agente non sarà in grado di utilizzare YUM e sarà necessario configurare uno o più repository locali.