# Gerenciamento de Patches do Red Hat Linux

## Índice

- [Visão geral da aplicação de patches do Red Hat](#visão-geral-da-aplicação-de-patches-do-red-hat)
- [Pré-requisitos](#pré-requisitos)
  - [Agente](#agente)
  - [Server](#server)
- [Configuração das definições do Red Hat Linux para aplicação de patches](#configuração-das-definições-do-red-hat-linux-para-aplicação-de-patches)
  - [Upload automático do certificado de entitlement do Red Hat para o Server](#upload-automático-do-certificado-de-entitlement-do-red-hat-para-o-server)
  - [Upload manual do certificado de entitlement do Red Hat para o Server](#upload-manual-do-certificado-de-entitlement-do-red-hat-para-o-server)
  - [Desabilitar edição](#desabilitar-edição)
- [Sistemas inscritos no RHUI](#sistemas-inscritos-no-rhui)
- [Certificados de entitlement do RedHat](#certificados-de-entitlement-do-redhat)
  - [Finalidade dos certificados](#finalidade-dos-certificados)

## Visão geral da aplicação de patches do Red Hat

O Gerenciamento de Patches para Red Hat Enterprise Linux permite que os administradores gerenciem de forma eficaz todos os patches de segurança e não relacionados à segurança lançados pela Red Hat. Esse processo é crucial para manter um alto nível de segurança nos endpoints Linux, permitindo a identificação, instalação e auditoria das atualizações de pacotes da Red Hat em máquinas inscritas e Servers.

## Pré-requisitos

**Nota:** Recomenda-se que todos os endpoints gerenciados possuam assinaturas Standard para Red Hat Enterprise Linux.

### Agente

1. Para receber atualizações do portal da Red Hat, você precisa ter uma assinatura ativa.
   - Consulte [aqui](https://www.redhat.com/en/store) para adquirir uma assinatura da Red Hat.
   - Consulte [aqui](https://docs.redhat.com/en/documentation/subscription_central/1-latest/html/getting_started_with_rhel_system_registration/adv-reg-rhel-using-rhsm_#available_subs_ref) para gerenciar suas assinaturas.
2. Verifique sua assinatura adquirida.
   - Verifique o status da assinatura do sistema executando o comando: `sudo subscription-manager status` no terminal Linux.
   - Se você tiver o Simple Content Access (SCA) habilitado em sua conta Red Hat, os sistemas precisam apenas estar registrados (via subscription-manager) para obter acesso aos repositórios. Certifique-se de que um dos status a seguir seja exibido.

**Quando o SCA estiver habilitado**

```
subscription-manager status
+-------------------------------------------+
   System Status Details
+-------------------------------------------+
Overall Status: Disabled
Content Access Mode is set to Simple Content Access. This host has access to content, regardless of subscription status.

System Purpose Status: Disabled
```

**Quando o SCA estiver desabilitado**

```
subscription-manager status
+-------------------------------------------+
   System Status Details
+-------------------------------------------+
Overall Status: Current

System Purpose Status: Matched
```

- Se o status da assinatura Red Hat for "Unknown", isso pode ocorrer porque sua máquina foi registrada quando estava offline. Se for esse o caso, consulte as etapas [aqui](https://access.redhat.com/solutions/7065718?utm_source=pmp).
- Se o status da assinatura Red Hat for "Insufficient", isso pode ocorrer porque você assinou uma máquina virtual que foi migrada. Nesse caso, consulte as etapas [aqui](https://access.redhat.com/solutions/3328401).
- Se você ainda enfrentar um problema ou se o status da assinatura não se enquadrar em nenhum dos dois casos acima, tente reanexar a assinatura ou executar o comando `subscription-manager refresh`, que atualiza seu sistema com as informações de assinatura mais recentes da Red Hat. Em seguida, verifique se os certificados de entitlement estão presentes no diretório `/etc/pki/entitlement/`.
- Se a assinatura adquirida estiver expirada, renove sua assinatura. Consulte [aqui](https://www.redhat.com/en/about/subscription-renewal-guide?utm_source=pmp) para as etapas de renovação.

3. Verifique se um repositório Red Hat válido está configurado em seus sistemas:
   - Verifique se ele atende aos critérios exigidos, conforme mencionado [aqui](https://www.manageengine.com/products/desktop-central/help/patch_management/kb/invalid-redhat-repo-found-in-agent-machine.html#criteria).
   - Se o arquivo `.repo` válido estiver ausente, certifique-se de que `/etc/rhsm/rhsm.conf` tenha `manage_repos` definido como "1".
4. **Sistemas registrados com Red Hat Update Infrastructure (RHUI)** na nuvem exigem uma conexão ativa para acessar os espelhos inscritos no RHUI.
5. Para sistemas registrados com o Red Hat Satellite Server, o agente deve ser instalado no sistema em que o Satellite Server está instalado, pois espera-se que ele aponte para **cdn.redhat.com**.

### Server

Certifique-se de que **cdn.redhat.com** esteja acessível a partir do Server central.

Os seguintes domínios precisam estar na lista de permissões para que os pacotes da Red Hat sejam baixados:

1. https://cdn.redhat.com

## Configuração das definições do Red Hat Linux para aplicação de patches

### Upload automático do certificado de entitlement do Red Hat para o Server

Quando um agente é instalado e o sistema atende aos pré-requisitos, o certificado de entitlement do Red Hat será enviado automaticamente a partir do sistema. Para sistemas atualizados de versões anteriores à 11.3.2440.1, o sistema nomeado configurado anteriormente será considerado por padrão. Se o certificado não for carregado após alguns ciclos de atualização, qualquer outro agente com uma assinatura válida fará o upload do certificado.

### Upload manual do certificado de entitlement do Red Hat para o Server

Em vez do upload automático, você pode selecionar manualmente o sistema para enviar o certificado.

Se você preferir gerenciar novamente a edição não gerenciada, então:

- Navegue até Gerenciamento de Patches -> Página de Configurações do Redhat Linux -> Escolher sistema alternativo.
- Selecione o sistema para enviar o certificado.

**Nota:** Se um certificado de entitlement do Redhat enviado tiver expirado, o agente não buscará automaticamente o certificado mais recente dos sistemas disponíveis. O reenvio do certificado ocorrerá apenas em sistemas configurados manualmente; portanto, mantenha sempre uma assinatura ativa nesses sistemas.

### Desabilitar edição

Se você não quiser gerenciar uma edição específica, poderá excluí-la da página de configurações do Red Hat Linux. Remover uma edição impedirá operações de aplicação de patches, como varreduras e implantações.

Etapas para configurar:

- Navegue até Gerenciamento de Patches -> Página de Configurações do Redhat Linux -> Desabilitar edição.

**Nota:** Se alguma edição for desabilitada, a varredura e a implantação de patches não poderão ser realizadas. Se desejar gerenciar novamente a edição desabilitada, entre em contato com o [suporte](mailto:patchmanagerplus-support@manageengine.com).

## Sistemas inscritos no RHUI

1. Todos os sistemas estão registrados com o Red Hat Update Infrastructure (RHUI) na nuvem, sem que nenhum esteja direcionado para cdn.redhat.com.
   - O agente baixará diretamente os metaarquivos e patches necessários dos repositórios configurados no RHUI.
2. Um ambiente híbrido em que alguns sistemas estão inscritos por meio do RHUI na nuvem, enquanto outros estão registrados diretamente na Red Hat.
   - Para sistemas registrados diretamente na Red Hat, o agente baixará os metadados e patches necessários diretamente do Endpoint Central Server.
   - Para sistemas registrados com RHUI na nuvem, o agente recuperará diretamente os metaarquivos e patches necessários dos repositórios RHUI configurados.
   - Se desejar alterar esse comportamento para baixar os metaarquivos e patches do Endpoint Central Server, uma configuração interna deverá ser habilitada. Entre em contato com o [suporte](mailto:patchmanagerplus-support@manageengine.com) para obter assistência.

## Certificados de entitlement do RedHat

Os certificados de entitlement da Red Hat são essenciais para gerenciar e verificar a assinatura de um sistema RHEL. Esses certificados garantem acesso seguro e autenticado aos repositórios da Red Hat, permitindo que o sistema receba atualizações e patches de acordo com seus direitos de assinatura.

- **Certificados de entitlement (*.pem):** Esses certificados representam os direitos concedidos ao sistema com base nas assinaturas anexadas. Cada certificado de entitlement normalmente recebe um identificador exclusivo e possui a extensão .pem. Eles contêm detalhes sobre os produtos e serviços aos quais o sistema tem direito, incluindo as datas de início e término da assinatura.
- **Arquivos de chave de entitlement (*-key.pem):** Para cada certificado de entitlement, existe um arquivo de chave privada correspondente com a extensão *-key.pem. Esses arquivos de chave são usados em conjunto com os certificados de entitlement para autenticação SSL/TLS ao acessar redes de entrega de conteúdo (CDN) ou repositórios da Red Hat.

### Finalidade dos certificados

O Endpoint Central Server usará esses certificados para baixar com segurança metadados e patches de cdn.redhat.com.

**Nota:** Assim que o certificado for enviado com sucesso para o Server, ele iniciará o download offline dos metadados. Aguarde pelo menos um ciclo de atualização para que o Server baixe todos os metaarquivos offline necessários antes de iniciar o processo de varredura ou implantação de patches.