Linux 无内容修补

V2024.1 之前,Security Controls 中的所有 Linux 修补都是基于内容的。 工程师于 Ivanti 确定并整理修复漏洞所需的文件,创建随后可以部署的基于内容的修补程序。 此方法的主要缺点是创建内容包时存在延迟,并且并非所有漏洞都得到解决。

从 V2024.1 开始,正在实施一种新的无内容 Linux 修补方法。 通过这种方法,Linux 分发的存储库是所有修补程序包的直接来源。 这意味着您可以立即访问所有程序包,为您提供更高效、更完整的修补机制,同时保持 Security Controls 所带来的修补控制和可见性。

在一段时间内,这两种方法都可以通过 Security Controls 使用,但我们建议您立即开始规划和实施向无内容修补的迁移,因为将在未来版本中删除旧的基于内容的 Linux 修补方法。

发生了什么变化?

您会注意到的主要区别是:

  • 之前的 Linux 修补可以在使用名称 Linux 修补程序(基于内容) 和图标 基于内容的 Linux 图标Security Controls 中使用。
  • 新的无内容 Linux 修补没有单独的修补程序扫描配置。 每当 Linux 修补程序任务运行时,它都会扫描所有缺失的程序包和建议。 然后您可以单独指定部署选项,作为 Linux 修补程序任务的一部分。
  • 对于无内容 Linux,计算机视图上的网格中添加了一个新列,显示程序包的源存储库。
  • 对于 V2024.1,新修补程序配置的按修补程序组部署选项不可用,因此唯一的选择是全部进行修补。 在未来的版本中将添加针对无内容 Linux 修补的按修补程序组部署

我该如何迁移?

我们建议采用以下策略来增强无内容修补的可靠性,从而摆脱基于内容的 Linux 修补:

  1. 使用配置为扫描所有修补程序基于 Linux 内容的修补程序任务扫描测试 Linux 计算机,然后检查“计算机视图”中的运行状况列。
  2. 使用现有的基于内容的修补程序任务将修补程序部署到您的测试计算机,然后重新检查计算机视图中的运行状况列。
  3. 创建或更新代理策略,其中包括禁用了部署选项的 Linux 修补程序任务
    这样将使用新的无内容功能创建全部扫描任务。
  4. 在测试 Linux 计算机上安装具有新策略的代理。
    引擎安装后会自动运行扫描。
  5. 扫描完成后,检查运行状况列。
    请注意,已发现新的漏洞。
  6. 启用新的无内容修补程序任务中的部署选项,并重新部署修补程序。
  7. 再次检查运行状况列。
    漏洞已得到修复。