Linux 無內容修補

在 V2024.1 之前,Security Controls 中的所有 Linux 修補都是基於內容的修補。 Ivanti 的工程師已找出並整理修正弱點所需的檔案,從而建立了之後可以部署的基於內容的修補程式。 此方法的主要缺點是建立內容套件需要等待一段時間,而且並非所有弱點都能獲得解決。

從 V2024.1 開始,將實作新的無內容 Linux 修補方法。 使用這種方法時,Linux 分發的存放庫是所有修補程式套件的直接來源。 這意味著您可以立即存取所有套件,從而為您提供更有效率且更完整的修補機制,同時保留 Security Controls 所帶來的修補控制和可見性。

觀看相關影片 (02:44)

在一段時間內,這兩種方法都會透過 Security Controls 提供,但我們建議您立即開始規劃移轉到無內容修補並進行實作,因為在之後的版本中,將移除舊的基於內容的 Linux 修補方法。

做了哪些變更?

您將注意到的主要差異在於:

  • 先前的 Linux 修補可以在 Security Controls 中取得,名稱為 Linux 修補程式 (基於內容) 且圖示為 基於內容的 Linux 圖示
  • 新的無內容 Linux 修補沒有另外的修補程式掃描組態。 每當 Linux 修補程式工作執行時,它都會掃描所有缺少的套件和諮詢。 接著,您可以另外指定部署選項,作為 Linux 修補程式工作的一部分。
  • 對於無內容 Linux,我們在電腦檢視上的網格中新增了一欄,顯示套件的來源存放庫。
  • 對於 V2024.2,新修補程式組態的按照修補程式群組部署選項僅支援與諮詢相關聯套件的修補。 V2024.3 支援將套件新增至修補程式群組,而 V2024.4 支援按照嚴重性部署

如何移轉?

建議採用以下策略,提升無內容修補可靠性,從而逐步淘汰基於內容的 Linux 修補:

  1. 使用為掃描所有修補程式而設定的 Linux 基於內容的修補程式工作來掃描 Linux 測試電腦,然後檢查「電腦檢視」中的健全狀況欄。
  2. 使用現有基於內容的修補程式工作,將修補程式部署到您的測試電腦,然後重新檢查「電腦檢視」中的健全狀況欄。
  3. 在停用部署選項的情況下,建立或更新包含 Linux 修補程式工作的代理程式原則。
    這樣將使用新的無內容功能建立全部掃描工作。
  4. 在 Linux 測試電腦上,安裝包含新原則的代理程式。
    引擎安裝後會自動執行掃描。
  5. 掃描完成後,檢查健全狀況欄。
    請注意,已發現新的弱點。
  6. 在新的無內容修補程式工作中,啟用部署選項,並重新部署修補程式。
  7. 再次檢查健全狀況欄。
    弱點已修復。