Linux 無內容修補

在 V2024.1 之前,Security Controls 中的所有 Linux 修補都是基於內容的修補。 Ivanti 的工程師已找出並整理修正弱點所需的檔案,從而建立了之後可以部署的基於內容的修補程式。此方法的主要缺點是建立內容套件需要等待一段時間,而且並非所有弱點都能獲得解決。

從 V2024.1 開始,將實作新的無內容 Linux 修補方法。 使用這種方法時,Linux 分發的存放庫是所有修補程式套件的直接來源。 這意味著您可以立即存取所有套件,從而為您提供更有效率且更完整的修補機制,同時保留 Security Controls 所帶來的修補控制和可見性。

在一段時間內,這兩種方法都會透過 Security Controls 提供,但我們建議您立即開始規劃移轉到無內容修補並進行實作,因為在之後的版本中,將移除舊的基於內容的 Linux 修補方法。

做了哪些變更?

您將注意到的主要差異在於:

  • 先前的 Linux 修補可以在 Security Controls 中取得,名稱為 Linux 修補程式 (基於內容) 且圖示為 基於內容的 Linux 圖示
  • 新的無內容 Linux 修補沒有另外的修補程式掃描組態。 每當 Linux 修補程式工作執行時,它都會掃描所有缺少的套件和諮詢。 接著,您可以另外指定部署選項,作為 Linux 修補程式工作的一部分。
  • 對於無內容 Linux,我們在電腦檢視上的網格中新增了一欄,顯示套件的來源存放庫。
  • 對於 V2024.1,新修補程式組態的按照修補程式群組部署選項將無法使用,因此唯一的選項是全部修補。 之後的版本中將會針對無內容 Linux 修補,新增按照修補程式群組部署

如何移轉?

建議採用以下策略,提升無內容修補可靠性,從而逐步淘汰基於內容的 Linux 修補:

  1. 使用為掃描所有修補程式而設定的 Linux 基於內容的修補程式工作來掃描 Linux 測試電腦,然後檢查「電腦檢視」中的健全狀況欄。
  2. 使用現有基於內容的修補程式工作,將修補程式部署到您的測試電腦,然後重新檢查「電腦檢視」中的健全狀況欄。
  3. 在停用部署選項的情況下,建立或更新包含 Linux 修補程式工作的代理程式原則。
    這樣將使用新的無內容功能建立全部掃描工作。
  4. 在 Linux 測試電腦上,安裝包含新原則的代理程式。
    引擎安裝後會自動執行掃描。
  5. 掃描完成後,檢查健全狀況欄。
    請注意,已發現新的弱點。
  6. 在新的無內容修補程式工作中,啟用部署選項,並重新部署修補程式。
  7. 再次檢查健全狀況欄。
    弱點已修復。