Criar e editar uma configuração de implantação de patches do Linux

Uma configuração de implantação de patches do Linux define como a implantação de patches será executada. Existem configurações de implantação de patch separadas para o novo método de aplicação de patches sem conteúdo do Linux e para o método anterior, baseado em conteúdo. O novo método de aplicação sem conteúdo verifica os patches ausentes como parte de todas as configurações de implantação de patch.

Security Controls fornece uma configuração predefinida chamada Atualizar Tudo. Essa configuração determina que o agente implantará todos os patches que foram identificados como ausentes por uma análise de patch. Não será usado um grupo de patches nem será necessário reinicializar após a implantação.

Você não pode editar a configuração predefinida. Se a configuração predefinida não for adequada às suas necessidades, você poderá criar uma configuração personalizada, conforme descrito separadamente abaixo, para executar aplicações com e sem conteúdo.

Para trabalhar com uma configuração personalizada de implantação de patches do Linux sem conteúdo, realize um dos seguintes procedimentos:

  • Para criar uma nova configuração de implantação:
    • Clique em Novo > Patch do Linux > Configuração de Implantação de Patch
    • Na lista Configurações de Implantação de Patch do Linux no painel de navegação (ícone Linux), clique com o botão direito e selecione Nova Configuração de Implantação de Patch do Linux
  • Para editar uma configuração existente, na lista Configurações de Implantação de Patch do Linux clique duas vezes no nome da configuração de implantação

Campo Descrições

Nome

O nome que você deseja atribuir a esta configuração.

Caminho

Esta caixa é usada para especificar o caminho da pasta em que a configuração residirá na lista Configurações de Implantação de Patch do Linux no painel de navegação. Se você não especificar um caminho, a configuração residirá no nível-raiz da lista Minhas Configurações de Implantação de Patch do Linux. Para mais informações, consulte Organizar Configurações e Grupos de Patches do Linux.

Descrição

A descrição da configuração.

Implantar todos os patches ausentes

Se ativado, todos os patches identificados como ausentes pela análise executada na implantação serão implantados.

Implantar patches selecionados

Se ativado, somente os patches que foram identificados como ausentes pela verificação executada como parte da implantação e que correspondem aos critérios configurados serão implantados.

  • Implantar por gravidade: se ativado, permite especificar os tipos de patch e os níveis de gravidade que devem ser incluídos na implantação. Os ícones mostram quais distribuições Linux suportam cada nível.
    • Segurança: patches relacionados ao boletim de segurança. Você pode optar por implantar um ou mais níveis de gravidade específicos.
      • Segurança crítica: vulnerabilidades que possam ser exploradas por um invasor remoto não autenticado ou sejam capazes de romper o isolamento entre os sistemas operacionais de host/convidado. A exploração resulta no comprometimento de confidencialidade, integridade, disponibilidade dos dados de usuário ou processamento de recursos sem interação do usuário. Tal exploração poderia ser aproveitada para propagar um worm de Internet ou executar código arbitrário entre máquinas virtuais e o host.
      • Segurança importante: vulnerabilidades cuja exploração resulta no comprometimento de confidencialidade, integridade ou disponibilidade dos dados do usuário e do processamento de recursos. Tais falhas poderiam permitir aos usuários locais obter privilégios, permitir aos usuários autenticados remotos executar código arbitrário ou permitir aos usuários locais ou remotos causar facilmente uma recusa de serviço.
      • Segurança moderada: falhas em que a capacidade de exploração é atenuada em grau significativo pela configuração ou dificuldade de exploração, mas, em certos cenários de implantação, ainda podem levar a algum comprometimento da confidencialidade, integridade ou disponibilidade dos dados do usuário e dos recursos de processamento. Estes são os tipos de vulnerabilidades que podem ter um impacto crítico ou impacto importante, mas são facilmente menos exploradas com base em uma avaliação técnica da falha ou afetam configurações improváveis.
      • Segurança baixa: todos os outros incidentes que impactam a segurança. Vulnerabilidades em que a exploração seja considerada extremamente difícil ou de mínimo impacto se for bem-sucedida.
    • Correção de bugs: patches de fornecedores que corrigem bugs.
    • Aprimoramento: patches de fornecedores que fornecem melhorias de recursos.

      • A opção Aprimoramento não está disponível para Oracle v7 e Red Hat v7.

  • Implantar por grupo de patches: se ativado, permite especificar um ou mais grupos de patches que contêm os patches que você deseja incluir em uma implantação. Essa é uma boa maneira de garantir que apenas patches aprovados sejam implantados. Patches ausentes que não estejam contidos nos grupos de patches definidos em Incluir não serão implantados, a menos que atendam aos requisitos especificados na opção Implantar por gravidade.

Na aplicação de patches em dispositivos Linux, o Security Controls segue a convenção de sempre atualizar para o pacote mais recente disponível no repositório, mesmo se uma versão anterior estiver selecionada. Observe que, para algumas distribuições, essa é a única opção disponível, já que as versões anteriores de um pacote não ficam disponíveis no repositório.

Opções de reinicialização pós-implantação

Permite especificar se serão ou não permitidas reinicializações pós-implantação.

Configurações para contagens regressivas de reinicialização e outros parâmetros são especificados na seção Patch de servidor/Linux da guia Opções de reinicialização do agente na caixa de diálogo Editor de Política do Agente (consulte Opções de reinicialização do agente).

Se você selecionar Implantar patches selecionados, os pacotes que sejam dependências dos avisos especificados serão instalados adicionalmente aos pacotes associados aos avisos nos grupos de patches. Se você definir Opções de reinicialização pós-implantação como Reinicializar quando necessário, essas dependências poderão causar uma reinicialização adicional.

Lembre-se que algumas atualizações requerem reinicialização e que, nesses casos, a máquina fica vulnerável até ser reinicializada, por isso recomendamos Nunca reinicializar apenas para servidores com janelas de manutenção programadas.

Guia Usado por

Esta guia mostra as políticas de agente que estão atualmente usando essa configuração. Saber isso é importante se você estiver pensando em modificar a configuração, pois lhe diz quais agentes são afetados.

Se uma máquina Oracle Linux tiver o Red Hat Compatible Kernel (RHCK) e o Unbreakable Enterprise Kernel (UEK), ambos os kernels serão verificados e corrigidos. No entanto, como o kernel inativo não está em execução e, portanto, não está vulnerável, seus avisos são sempre relatados como Instalados.

Para trabalhar com uma configuração personalizada e baseada em conteúdo na implantação de patches do Linux, realize um dos seguintes procedimentos:

  • Para criar uma nova configuração de implantação:
    • Clique em Novo > Patch do Linux (Baseado em Conteúdo) > Configuração de Implantação de Patch (Baseada em Conteúdo)
    • Na lista Configurações de Implantação de Patch do Linux (Baseada em Conteúdo) (ícone Linux baseado em conteúdo) no painel de navegação, clique com o botão direito e selecione Nova Configuração de Implantação de Patch do Linux
  • Para editar uma configuração existente, na lista Configurações de Implantação de Patch do Linux clique duas vezes no nome da configuração de implantação

Campo Descrições

Nome

O nome que você deseja atribuir a esta configuração.

Caminho

Esta caixa é usada para especificar o caminho da pasta em que a configuração residirá na lista Configurações de Implantação de Patch do Linux no painel de navegação. Se você não especificar um caminho, a configuração residirá no nível-raiz da lista Minhas Configurações de Implantação de Patch do Linux. Para mais informações, consulte Organizar Configurações e Grupos de Patches do Linux.

Descrição

A descrição da configuração.

Reinicialização pós-implantação quando necessário pelos patches de destino

Se habilitado, especifica que o Security Controls revisará os patches que estão sendo implantados e determinará se é ou não necessário reinicializar.

Se você não habilitar esta opção, não haverá reinicialização após a implantação.

Configurações para contagens regressivas de reinicialização e outros parâmetros são especificados na seção Patch de servidor/Linux da guia Opções de reinicialização do agente na caixa de diálogo Editor de Política do Agente (consulte Opções de reinicialização do agente).

Implantar todos os patches ausentes

Se habilitado, todos os patches identificados como ausentes pela análise de patch serão implantados.

Implantar por grupo de patches

Se habilitado, somente os patches que foram identificados como ausentes pela análise de patch e estejam contidos no grupo especificado de patches do Linux serão implantados.

Implantar apenas versão explícita

Se habilitado, somente a versão explícita do patch que foi detectado como ausente será implantada. Se uma nova versão do patch estiver disponível, ela não será implantada.

Guia Usado por

Esta guia mostra as políticas de agente que estão atualmente usando essa configuração. Saber isso é importante se você estiver pensando em modificar a configuração, pois lhe diz quais agentes são afetados.

Implantações são executadas usando-se YUM

O Yellowdog Updater, Modified (YUM) é um utilitário de linha de comando usado para recuperar, instalar e gerenciar pacotes RPM a partir dos repositórios oficiais de software da Red Hat e da CentOS. Quando um agente precisa implantar um patch, ele faz isso instruindo o YUM a baixar e instalar o patch. Se você tiver máquinas clientes Linux residindo em uma rede desconectada, o agente não poderá utilizar o YUM, e você deverá configurar um ou mais repositórios locais.