Linux パッチ配布構成の作成と編集

Linux パッチ配布構成により、パッチ配布をどのように実行するかを定義します。 新しいコンテンツレスな Linux パッチ適用方法の場合と、以前のコンテンツ ベースのパッチ適用方法の場合で、それぞれ別のパッチ配布構成があります。 新しいコンテンツレスなパッチ適用方法では、すべてのパッチ配布構成の一部として、不足しているすべてのパッチを調べるパッチスキャンが実行されます。

Security Controls には、すべてを更新という名前の定義済み構成が1つ用意されています。 この構成は、パッチ スキャンで不足していると特定されたすべてのパッチをエージェントが配布することを指定します。 パッチ グループは使用されず、配布後の再起動は実行されません。

この定義済み構成は編集できません。 この定義済み構成ではニーズが満たされない場合は、カスタム構成を作成できます。作成方法は、以下に、コンテンツレスなパッチ適用の場合と、コンテンツ ベースのパッチ適用の場合とで、別々に説明されています。

カスタムのコンテンツレスな Linux パッチ配布構成を使用するには、次のいずれかを行います。

  • 新しい配布構成を作成するには:
    • [新規] > [Linux パッチ] > [パッチ配布構成] の順にクリックします。
    • ナビゲーション ウィンドウの [Linux パッチ配布構成] リスト (Linux アイコン) で、[新規 Linux パッチ配布構成] を右クリックして選択します。
  • 既存の構成を編集するには、[Linux パッチ配布構成] リストで、配布構成名をダブルクリックします。

フィールド 説明

名前

この構成に割り当てる名前。

パス

このボックスを使用して、ナビゲーション ウィンドウの [Linux パッチ配布構成] リストにこの構成を配置するためのフォルダ パスを指定します。 パスを指定しないと、[マイ Linux パッチ配布構成] リストのルート レベルにこの構成が配置されます。 詳細については、「Linux でのパッチ グループと構成の編成」をご参照ください。

説明

構成の説明。

すべての不足しているパッチを配布する(&D)

有効にすると、配布の一部として実行されるスキャンで不足していると特定されたパッチがすべて配布されます。

選択したパッチを配布する

有効にすると、配布の一部として実行されるスキャンが不足していると識別し、構成された基準に一致するパッチのみが配布されます。

  • 重要度別に配布有効な場合、配布に含めるパッチのタイプと重要度レベルを指定できます。 アイコンは、各レベルをサポートする Linux ディストリビューションを示します。
    • セキュリティ: セキュリティ情報関連のパッチ。 1つ以上の特定の重要度レベルを配布することを選択できます。
      • セキュリティ重大: 認証されていないリモート攻撃者によって悪用される可能性のある脆弱性、またはオペレーティング システムのゲスト/ホストの分離を破壊する脆弱性。 セキュリティ上の脆弱性によって、ユーザが操作を行うことなく、ユーザ データや処理リソースの機密性、完全性、可用性が危険にさらされます。 脆弱性の悪用がさらに拡大すると、インターネット ワームが拡散したり、仮想マシンとホスト間で任意コードが実行されたりするおそれがあります。
      • セキュリティの重要度: 悪用されると、ユーザー データおよび処理リソースの機密性、整合性、または可用性が損なわれる脆弱性。このような不具合によって、ローカル ユーザが権限を取得したり、認証されたリモート ユーザが任意コードを実行したり、ローカルまたはリモート ユーザが簡単にサービス妨害攻撃を実行したりできます。
      • セキュリティ中: 構成により、または悪用の困難性により、悪用の可能性が大幅に緩和されているものの、特定の配布シナリオにおいては依然としてユーザ データや処理リソースの機密性、完全性、可用性への何らかの侵害につながるおそれのある不備。 ただし、特定の配布シナリオでは、ユーザ データや処理リソースの機密性、完全性、可用性が何らかの危険にさらされる可能性が残存する場合があります。このようなタイプの脆弱性は重大または重要な影響を及ぼす可能性があります。ただし、不具合の技術的な評価に基づく限り、悪用することがそれほど容易ではないか、構成に影響する可能性が低くなっています。
      • セキュリティ低: セキュリティに影響を及ぼすその他すべての問題。 悪用することがきわめて困難であると考えられているか、悪用された場合でも最小限の影響に抑えられる脆弱性。
    • バグ修正: バグを修正するベンダー パッチ。
    • 機能の拡張: 機能の改良を提供するベンダー パッチ。

      • 機能の拡張 は Oracle v7 および Red Hat v7 ではご利用いただけません。

  • パッチ グループ別に配布: 有効にすると、配布に含めたいパッチを含む 1 つ以上のパッチ グループを指定できます。これは、承認されたパッチのみが配布されるようにするための優れた方法です。選択したパッチ グループに含まれていない欠落パッチは、「重要度別に配布」オプションで指定された要件を満たさない限り配布されません。

Security Controls は、たとえ前のバージョンが選択されている場合でも、リポジトリで入手可能な最新のパッケージに常に更新することにより、Linux デバイスへのパッチ適用の慣例に従います。 一部の配布では、パッケージの前のバージョンをリポジトリから入手することができないため、実際にはこれが利用できる唯一のオプションです。

配布後の再起動オプション

配布後の再起動を許可するかどうかを指定できます。

再起動のカウントダウンなどの設定は、[エージェント ポリシー エディタ] ダイアログの [エージェント再起動オプション] タブにある [Server/Linux パッチ] セクションで指定します (「エージェント再起動オプション」を参照)。

[選択したパッチを配布する] を選択すると、パッケージ グループ内のアドバイザリに関連付けられているパッケージに加えて、指定したアドバイザリの依存関係であるパッケージがインストールされます。その後 [配布後の再起動オプション][必要時に再起動する] に設定すると、これらの依存関係により、さらに再起動が引き起こされる可能性があります。

一部の更新には再起動が必須であり、そのような場合、再起動されるまでコンピュータは脆弱です。そのため、[再起動しない] は、メンテナンス期間がスケジュールされているサーバの場合にのみ推奨します。

[使用システム] タブ

このタブには、現在この構成を使用しているエージェント ポリシーが表示されます。 構成の変更を検討している場合は、どのエージェントが影響を受けるかがわかるため、この情報が重要です。

Red Hat Compatible Kernel (RHCK) と Unbreakable Enterprise Kernel (UEK) の両方が存在する Oracle Linux コンピュータがある場合は、両方のカーネルがスキャンされてパッチが適用されます。 ただし、非実行カーネルは実行されておらず、そのため脆弱ではないため、そのアドバイザリは常に [インストール済み] と報告されます。

カスタムの、コンテンツ ベースの Linux パッチ配布構成を使用するには、次のいずれかを行います。

  • 新しい配布構成を作成するには:
    • [新規] > [Linux パッチ (コンテンツ ベース)] > [パッチ配布構成 (コンテンツ ベース) の順にクリックします。
    • ナビゲーション ウィンドウの [Linux パッチ配布構成 (コンテンツ ベース)] リスト (コンテンツ ベースの Linux アイコン) で、[新規 Linux パッチ配布構成] を右クリックして選択します。
  • 既存の構成を編集するには、[Linux パッチ配布構成] リストで、配布構成名をダブルクリックします。

フィールド 説明

名前

この構成に割り当てる名前。

パス

このボックスを使用して、ナビゲーション ウィンドウの [Linux パッチ配布構成] リストにこの構成を配置するためのフォルダ パスを指定します。 パスを指定しないと、[マイ Linux パッチ配布構成] リストのルート レベルにこの構成が配置されます。 詳細については、「Linux でのパッチ グループと構成の編成」をご参照ください。

説明

構成の説明。

ターゲット パッチで必要になった場合の発行後の再起動

有効にすると、Security Controls は、配布中のパッチを確認し、再起動が必要かどうかを判定します。

このオプションを有効にしないと、配布後に再起動は行われません。

再起動のカウントダウンなどの設定は、[エージェント ポリシー エディタ] ダイアログの [エージェント再起動オプション] タブにある [Server/Linux パッチ] セクションで指定します (「エージェント再起動オプション」を参照)。

すべての不足しているパッチを配布する(&D)

有効にすると、パッチ スキャンで不足していると特定されたパッチがすべて配布されます。

パッチ グループで配布する

有効にすると、パッチ スキャンで不足していると特定され、かつ、指定した Linux パッチ グループに含まれているパッチのみが配布されます。

明示的なバージョンのみを配布する

有効にすると、不足していることが検出された、明示的なバージョンのバッチのみが配布されます。 . 当該パッチの、より新しいバージョンが利用可能になっていると、このパッチは配布されません。

[使用システム] タブ

このタブには、現在この構成を使用しているエージェント ポリシーが表示されます。 構成の変更を検討している場合は、どのエージェントが影響を受けるかがわかるため、この情報が重要です。

配布はYUM を使用して実行される

YUM (Yellowdog Updater Modified) は、公式 Red Hat および CentOS ソフトウェア レポジトリからの RPM パッケージの取得、インストール、および管理に使用されるコマンド ライン ユーティリティです。 エージェントは、パッチの配布が必要になると、YUM に対してそのパッチをダウンロードおよびインストールするよう指示することによって、配布を行います。 Linux クライアント コンピュータがオフライン ネットワーク上に ある場合、エージェントは YUM を使用できませんので、管理者が1つ以上のローカル レポジトリを設定する必要があります。