Linux パッチ管理の概要
最小要件を満たす Linux コンピュータのみが、エージェントによるスキャンとパッチ適用の対象になります。 詳細については、「システム要件」をご参照ください。
エージェントを使用して、Linux コンピュータをスキャンし、パッチを適用します。 このプロセスは、新しいコンテンツレスな Linux パッチ適用方法を使用しているのか、古いコンテンツ ベースの方法を使用しているのかによって異なります。 この変更については、「Linux へのコンテンツレスなパッチ適用」をご参照ください。
- Linux コンピュータを特定します。
- 全 Linux コンピュータの ID または所在がわかっている場合は、Linux コンピュータ グループを作成できます。
- 全 Linux コンピュータの ID や所在が不明確な場合は、[マイ ドメイン]グループまたは [ネットワーク全体] グループに対して [電源ステータス スキャン] を実行します。このスキャンにより、グループ内の各コンピュータの OS タイプが特定され、コンピュータ ビューの [Linux パッチ] タブに Linux コンピュータが表示されます。
- Linux のパッチ グループと構成を1つ以上作成します。
- Linux パッチ グループの作成: これは任意ですが、スキャンや配布に関する制御性がはるかに高まり、特定のパッチ セットのスキャン (コンテンツ ベースのみ) や配布が可能になります。コンテンツレスな Linux パッチ適用の場合と、コンテンツ ベースの Linux パッチ適用の場合で、それぞれ別のパッチ グループを作成します。
- Linux パッチ スキャン構成の作成 (コンテンツ ベースのみ): この構成を使用して、Linux コンピュータを正確にどのようにスキャンするかを指定します。コンテンツレスなパッチ適用の場合は常に、どの配布方法の前にも、不足しているすべてのパッチを検出するためのパッチ スキャンが実行されるため、パッチ スキャン構成は必要ありません。
- Linux パッチ配布構成の作成: この構成を使用して、Linux コンピュータにパッチを正確にどのように配布するかを指定します。コンテンツレスな Linux パッチ適用の場合と、コンテンツ ベースの Linux パッチ適用の場合で、それぞれ別のパッチ配布構成を作成します。
- 1つ以上のエージェント ポリシーを作成します。
- エージェント ポリシーをインストールします。
- Linux コンピュータ グループ内で、下部ウィンドウでコンピュータを選択してから、[エージェントのインストール/再インストール] をクリックします。
- [コンピュータ ビュー]で、Linux コンピュータを右クリックし、目的のエージェント ポリシーをインストールします。
- エージェントを使用します。
エージェント ポリシーは、エージェントで可能な処理と不可能な処理を正確に定義します。 このエージェント ポリシーに、1つ以上の Linux パッチ タスクを作成することになります。 タスクごとに、エージェント コンピュータでタスクをいつ実行するのか、スキャンおよび配布のプロセス中にどの構成を使用すべきか、を指定します。
同じエージェント ポリシーに Windows タスクと Linux タスクを混在させるのは、まったく問題ありません。 Linux コンピュータは Windows タスクを無視し、その逆もまた同様です。
エージェントのプッシュ インストールを実行する前に、各 Linux ターゲット コンピュータを正しく構成する必要があります。 詳細については、「システム要件」をご参照ください。
エージェントの「プッシュ インストール」を Security Controls コンソールから実行できます。 これには、次の2つの方法があります。
Linux コンピュータ群に対して電源ステータス スキャンを実行していた場合は、ナビゲーション ウィンドウの [結果] リストからこの手順を実行することもできます。
もう1つのオプションとして、エージェントを Linux コンピュータ1つ1つに手動でインストールする方法もあります。 詳細については、「エージェントの手動インストール」をご参照ください。
エージェントは自動的に、自身のタスクを実行し、結果をコンソールに報告します。 コンピュータ ビューまたはスキャン ビューを使用して、エージェント ポリシーを実行しているコンピュータを管理できます。 エージェントを手動で制御する場合は、コマンドライン ユーティリティで行います。 詳細については、「ターゲット コンピュータでのエージェントの使用」をご参照ください。
Linux エージェントは、パッチの配布が必要になると、Yellowdog Updater Modified (YUM) を使用して配布を行います。 YUM は、RPM パッケージの取得、インストール、および管理に使用されるコマンドライン ユーティリティです。 Linux クライアント コンピュータがオフライン ネットワーク上に ある場合、エージェントは YUM を使用できませんので、管理者が1つ以上のローカル レポジトリを設定する必要があります。
モジュールとバージョン
Linux コンピュータに必ずしも最新バージョンのパッケージをインストールできるわけではありません。
Red Hat Linux および Red Hat に由来する ディストリビューションの場合、ストリームが複数あるモジュールがコンピュータにインストールされている場合があり、コンピュータ上で有効化できるのはそのうちの1つだけです。
こうしたタイプのモジュールの1つに含まれているパッケージをアドバイザリが更新しようとしているケースを検討してみましょう。
パッケージの新しいバージョンが、コンピュータ上で有効化されているストリームとは異なる、ある特定のストリーム用である場合、この更新されたパッケージは不適合であり、インストールできません。 結果として、モジュール用パッケージの、コンピュータにインストールできるバージョンよりも後のバージョンを利用することになります。
同様に、モジュールの依存関係により、最新のパッケージがインストールされていないように見受けられる場合があります。 たとえば、モジュール perl-DBD-SQLite には、次のように perl-DBD-SQLite パッケージ用の複数のモジュール更新が含まれていることがあります。
- perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+55ca6856.x86_64
- perl-DBD-SQLite-0:1.58-2.module+el8.1.0+2940+f62455ee.x86_64
- perl-DBD-SQLite-0:1.58-2.module+el8.2.0+4265+ff794501.x86_64
- perl-DBD-SQLite-0:1.58-2.module+el8.6.0+13408+461b4ab5.x86_64
しかし、これらの各パッケージには、特定の perl システムとの依存関係があります。 先頭の更新は、perl:5.24が有効化されている場合にのみインストールでき、最後の更新は perl:5.32が有効化されている場合にのみインストールできます。したがって、パッケージの最新バージョンであると見受けられるものを、特定のコンピュータにインストールできない場合があります。