创建和编辑 Linux 修补程序部署配置

Linux 修补程序部署配置规定如何执行修补程序部署。 新的无内容 Linux 修补方法和之前的基于内容的修补方法有单独的修补程序部署配置。 新的无内容修补方法会对所有缺失的修补程序执行扫描,作为所有修补程序部署配置的一部分。

Security Controls 提供一个名为全部更新的预定义配置。 该配置指定代理将对修补程序扫描识别为缺失的所有修补程序进行部署。 系统将不使用修补程序组,也不会执行部署后重新启动。

您无法编辑预定义配置。 如果预定义的配置不足以满足您的需求,您可以创建自定义配置,如下文针对无内容修补和基于内容的修补分别所述。

要使用自定义无内容 Linux 修补程序部署配置,请执行以下操作之一:

  • 创建新的部署配置:
    • 点击新建 > Linux 修补程序 > 修补程序部署配置
    • 在导航窗格的 Linux 修补程序部署配置列表 (Linux 图标) 中,右键单击并选择新建 Linux 修补程序部署配置
  • 要编辑现有配置,请在 Linux 修补程序部署配置列表中,双击部署配置名称

字段 描述

名称

要分配至此配置的名称。

路径

此框可用于指定该配置将位于导航窗格 Linux 修补程序部署配置列表中的哪个文件夹路径。 如果未指定路径,配置将位于我的 Linux 修补程序部署配置列表的根层级中。 有关更多详细信息,请参阅整理 Linux 修补程序组和配置

说明

配置说明。

部署所有缺失的修补程序(&D)

如果启用,则系统将部署由部署过程中运行的扫描识别为缺失的所有修补程序。

部署已选择的修补程序

如果启用,则系统仅部署由部署扫描识别为缺失的修补程序,以及符合指定条件的修补程序。

  • 按严重性部署:如果启用,则可以指定要部署的修补程序类型以及严重性级别。 图标显示每个级别支持的 Linux 发行版。
    • 安全性:安全公告相关的修补程序。 可以选择针对一个或多个特定的严重性级别进行部署。
      • 安全性 - 关键:可被未经身份验证的远程攻击者利用的漏洞,或者能够打破访客/主机操作系统隔离的漏洞。 在没有用户参与的情况下,导致威胁机密性、完整性、用户数据或处理资源可用性的利用。 通过利用可传播 Internet 蠕虫或在虚拟机和主机间执行任意代码。
      • 安全性 - 重要:此类漏洞若遭到利用,将导致用户数据和处理资源的机密性、完整性或可用性受到影响。 这样的缺陷可能允许本地用户获得权限,允许经过身份验证的远程用户执行任意代码,或允许本地或远程用户轻松拒绝服务。
      • 安全性 - 中等:可通过设置相应的配置或提高利用难度,降低此类缺陷遭到利用的可能性。但在某些部署场景中,仍可能导致用户数据和处理资源的机密性、完整性或可用性受到一定程度的影响。 这些类型的漏洞可能具有严重影响或重要影响,但是不太容易根据缺陷的技术评估利用,或影响不太可能的配置。
      • 安全性 - 低:所有其他会影响安全性的问题。 很难利用或成功利用后影响很小的漏洞。
    • 漏洞修复:修复漏洞的供应商修补程序。
    • 增强:提供功能增强的供应商修补程序。

      • 增强功能在 Oracle v7 和 Red Hat v7 中不可用。

  • 按修补程序组部署:如果启用,则可以指定一个或多个修补程序组,其中包含要部署的修补程序。 这是一种好方法,可确保仅部署获得批准的修补程序。 系统不会部署未包含在指定修补程序组中的缺失修补程序,但修补程序符合按严重性部署选项中指定的要求时除外。

Security Controls 遵循修补 Linux 设备的惯例,即使选择了较早的版本,也将始终更新为存储库中可用的最新程序包。 请注意,对于某些分发来说,这实际上是唯一可用的选项,因为存储库中没有程序包的较早版本。

部署后重新启动选项

让您能够指定是否允许部署后重新启动。

您可以在“代理策略编辑器”对话框的代理重新启动选项选项卡的 Server/Linux 修补程序部分中,指定重新启动倒数等的设置(请参阅代理重启选项)。

如果您选择部署已选择的修补程序,除了与修补程序组中的公告相关的程序包之外,还会安装属于指定公告依赖项的程序包。 如果将部署后重新启动选项设置为需要时重新启动,这些依赖项可能还会导致重新启动。

请记住,部分更新需要重新启动,在这种情况下,计算机在重新启动之前都很容易受到攻击,因此我们建议仅将从不重新启动用于具有计划维护窗口的服务器。

使用者选项卡

此选项卡显示当前使用该配置的代理策略。 考虑修改配置时,了解此选项卡十分重要,因为它可以告诉您哪些代理受到影响。

如果 Oracle Linux 计算机同时具有 Red Hat Compatible Kernel (RHCK) 和 Unbreakable Enterprise Kernel (UEK),则会对这两个内核进行扫描和修补。 但是,由于非运行内核未运行,因此不易受到攻击,因而其公告将始终报告为“已安装”。

要使用自定义基于内容的 Linux 修补程序部署配置,请执行以下操作之一:

  • 创建新的部署配置:
    • 点击新建 > Linux 修补程序(基于内容)> 修补程序部署配置(基于内容)
    • 在导航窗格的 Linux 修补程序部署配置(基于内容)列表 (基于内容的 Linux 图标) 中,右键单击并选择新建 Linux 修补程序部署配置
  • 要编辑现有配置,请在 Linux 修补程序部署配置列表中,双击部署配置名称

字段 描述

名称

要分配至此配置的名称。

路径

此框可用于指定该配置将位于导航窗格 Linux 修补程序部署配置列表中的哪个文件夹路径。 如果未指定路径,配置将位于我的 Linux 修补程序部署配置列表的根层级中。 有关更多详细信息,请参阅整理 Linux 修补程序组和配置

说明

配置说明。

目标补丁在需要时进行部署后重新启动

如果启用,则指定 Security Controls 将审查正在部署的修补程序并确定是否需要重新启动。

如果未启用此选项,则部署后将不会执行重新启动。

您可以在“代理策略编辑器”对话框的代理重新启动选项选项卡的 Server/Linux 修补程序部分中,指定重新启动倒数等的设置(请参阅代理重启选项)。

部署所有缺失的修补程序(&D)

如果启用,系统将对修补程序扫描识别为缺失的所有修补程序进行部署。

按修补程序组部署

如果启用,系统将对修补程序扫描识别为缺失的修补程序和包含在指定 Linux 修补程序组中的修补程序进行部署。

仅部署显式版本

如果启用,系统将仅对检测为缺失的修补程序的显式版本进行部署。 如果有较新版本的修补程序,系统将不会对其进行部署。

使用者选项卡

此选项卡显示当前使用该配置的代理策略。 考虑修改配置时,了解此选项卡十分重要,因为它可以告诉您哪些代理受到影响。

使用 YUM 执行部署

Yellowdog Updater, Modified (YUM) 是一款命令行实用程序,用于从官方 Red Hat 和 CentOS 软件存储库检索、安装和管理 RPM 软件包。 需要部署修补程序时,代理会指示 YUM 下载并安装修补程序以完成部署。 如果 Linux 客户端计算机位于断开连接的网络中,则该代理将无法使用 YUM,因此您必须设置一个或多个本地存储库