Panoramica della gestione patch Linux

Solo i computer Linux che rispettano i requisiti minimi sono adatti all'analisi e all'applicazione patch da parte di un agente. Vedere i Requisiti di sistema per informazioni complete.

L'analisi e l'applicazione delle patch sui computer Linux avvengono mediante agenti. La procedura dipende dall'utilizzo del nuovo metodo di applicazione patch Linux senza contenuto o del vecchio metodo basato sul contenuto. Per informazioni su questa modifica, vedere Applicazione patch Linux senza contenuto.

Guarda un video correlato (02:44)

  1. Identificare i propri computer Linux.
    • Se si conoscono le identità o le posizioni di tutti i propri computer Linux, è possibile creare un gruppo di computer Linux.
    • Se non si è certi delle identità e delle posizioni di tutti i propri computer Linux, eseguire un'analisi dello stato di alimentazione sul gruppo Dominio personale o Intera rete. L'analisi identificherà il tipo di OS di ciascun computer nel gruppo e i propri computer Linux verranno visualizzati sulla scheda Patch Linux nella Vista computer.
  2. Creare uno o più gruppi e configurazioni di patch Linux.
    • Crea un gruppo di patch Linux: questa opzione è facoltativa, ma può fornire un maggiore controllo sulle scansioni e sulle distribuzioni, consentendo di eseguire una scansione (basata solo sui contenuti) o di distribuire un particolare set di patch. Si creano gruppi di patch separati per l'applicazione di patch Linux senza contenuto e per l'applicazione di patch Linux basate su contenuti.
    • Creare una Configurazione analisi patch Linux (basata solo sul contenuto): si utilizza questa configurazione per specificare esattamente in che modo verranno esaminati i propri computer Linux. L'applicazione di patch senza contenuto esegue sempre una scansione delle patch per tutte le patch mancanti prima di qualsiasi metodo di distribuzione, quindi non richiede una configurazione della scansione delle patch.
    • Creare una Configurazione di distribuzione patch Linux: è possibile utilizzare questa configurazione per specificare esattamente in che modo le patch verranno distribuite ai propri computer Linux. Si creano configurazioni di distribuzione delle patch separate per l'applicazione di patch Linux senza contenuto e per l'applicazione di patch Linux basate su contenuti.
  3. Creare uno o più criteri agente.

    4. Un criterio agente definisce esattamente ciò che un agente può o non può fare. Si creerà una o più attività di patch Linux nel criterio agente. In ciascuna attività, si specifica quando verrà eseguita l'attività su un computer agente e quali configurazioni dovranno essere utilizzate durante i processi di analisi e distribuzione.

    È assolutamente consentito unire attività Windows e Linux nello stesso criterio agente. Le attività Windows verranno ignorate dai propri computer Linux, e viceversa.

  4. Installare il criterio agente.

    5. Ciascun computer di destinazione Linux deve essere configurato correttamente prima di poter eseguire un'installazione push di un agente. Vedere Requisiti di sistema per ulteriori dettagli.

    Un'opzione consiste nell'eseguire una "installazione push" dell'agente dalla console Security Controls. È possibile eseguire tale operazione in svariati modi diversi:

    • All'interno del proprio gruppo di computer Linux, selezionare i computer nel riquadro inferiore e fare quindi clic su Installa / Reinstalla agente.
    • In Vista computer, fare clic con il pulsante destro del mouse sui computer Linux e installare il criterio agente desiderato.

      • Se è stata eseguita un'analisi dello stato di alimentazione sui propri computer Linux, è inoltre possibile eseguire questo passaggio dall'elenco Risultati nel riquadro di navigazione.

    Un'altra opzione consiste nell'installare manualmente un agente su ciascuno dei propri computer Linux. Per i dettagli, vedere Installazione manuale degli agenti.

  5. Utilizzare l'agente.

    6. L'agente eseguirà automaticamente le proprie attività e comunicherà i risultati alla console. È possibile utilizzare Vista computer o Vista analisi per gestire i computer che eseguono un criterio agente. Se si desidera controllare manualmente l'agente, è possibile compiere tale operazione usando un'utilità riga di comando. Per i dettagli, vedere Utilizzo di un agente su un computer di destinazione.

    Quando un agente Linux richiede la distribuzione di una patch, lo fa utilizzando Yellowdog Updater, Modified (YUM). YUM è un'utilità a righe di comando utilizzato per il recupero, l'installazione e la gestione di pacchetti RPM. Se si dispone di macchine client Linux che risiedono in una rete disconnessa, l'agente non sarà in grado di utilizzare YUM e sarà necessario configurare uno o più repository locali.

Moduli e versioni

Non è sempre possibile installare l'ultima versione di un pacchetto su un computer Linux.

Per Red Hat Linux e le distribuzioni derivate da Red Hat, un computer può avere installati moduli che hanno diversi flussi, di cui solo uno può essere abilitato su un computer.

il modulo A ha tre flussi, di cui solo uno è abilitato sul computer

Si consideri il caso in cui un avviso richieda l'aggiornamento di un pacchetto in uno di questi tipi di moduli.

Aggiornare un pacchetto all'interno di un modulo che ha diversi flussi

Se la nuova versione del pacchetto è per un flusso specifico che differisce dal flusso abilitato su un computer, il pacchetto aggiornato è incompatibile e non può essere installato. Di conseguenza, sarà disponibile una versione più recente di un pacchetto per un modulo rispetto alla versione installabile su un computer.

Il nuovo pacchetto dipende da un flusso del modulo diverso da quello abilitato sul computer, quindi il nuovo pacchetto non può essere installato

Allo stesso modo, potrebbe sembrare che l'ultimo pacchetto non sia stato installato a causa delle dipendenze dei moduli. Ad esempio, il modulo perl-DBD-SQLite sembra dotato di svariati aggiornamenti dei moduli per il pacchetto perl-DBD-SQLite:

  • perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+55ca6856.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+f62455ee.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.2.0+4265+ff794501.x86_64
  • perl-DBD-SQLite-0:1.58-2.module+el8.6.0+13408+461b4ab5.x86_64

Tuttavia, ognuno di questi pacchetti ha una dipendenza da uno specifico flusso di perl. Il primo può essere installato solo quando perl:5.24 è abilitato e l'ultimo solo quando perl:5.32 è abilitato, quindi può accadere che quella che sembra essere l'ultima versione di un pacchetto non possa essere installata su un computer specifico.