Red Hat Linux-Patch-Management
Überblick über Red Hat-Patching
Das Patch-Management für Red Hat Enterprise Linux ermöglicht Administratoren die effektive Verwaltung aller von Red Hat veröffentlichten Sicherheits- und Nicht-Sicherheitspatches. Dieser Prozess ist entscheidend für die Aufrechterhaltung eines hohen Sicherheitsniveaus auf Linux-Endpunkten, da er die Identifizierung, Installation und Prüfung von Red Hat-Paketaktualisierungen auf abonnierten Rechnern und Servern ermöglicht.
Voraussetzungen
Hinweis: Es ist zwingend erforderlich, dass alle verwalteten Endpunkte über Standard-Abonnements für Red Hat Enterprise Linux verfügen.
- Um Updates vom Red Hat-Portal zu erhalten, benötigen Sie ein aktives Abonnement.
- Informationen zum Erwerb eines Red Hat-Abonnements finden Sie hier
- Informationen zur Verwaltung Ihrer Abonnements finden Sie hier.
Überprüfen Sie Ihr erworbenes Abonnement.
- Überprüfen Sie den Abonnementstatus des Systems, indem Sie den Befehl
sudo subscription-manager status im Linux-Terminal ausführen. - Wenn in Ihrem Red Hat-Konto Simple Content Access (SCA) aktiviert ist, müssen Systeme lediglich registriert werden (über subscription-manager), um Zugriff auf die Repositories zu erhalten. Stellen Sie sicher, dass einer der folgenden Status angezeigt wird.
Wenn SCA aktiviert ist
subscription-manager status
+-------------------------------------------+
System Status Details
+-------------------------------------------+
Overall Status: Disabled
Content Access Mode is set to Simple Content Access. This host has access to content, regardless of subscription status.
System Purpose Status: Disabled
Wenn SCA deaktiviert ist
subscription-manager status
+-------------------------------------------+
System Status Details
+-------------------------------------------+
Overall Status: Current
System Purpose Status: Matched
- Wenn der Red Hat-Abonnementstatus „Unknown“ ist, kann dies daran liegen, dass Ihr Rechner registriert wurde, als er offline war. Falls dies der Fall ist, lesen Sie die Schritte hier.
- Wenn der Red Hat-Abonnementstatus „Insufficient“ ist, kann dies daran liegen, dass Sie einen migrierten VM-Rechner abonniert haben. In diesem Fall lesen Sie die Schritte hier.
- Wenn das Problem weiterhin besteht oder der Abonnementstatus keinem der beiden oben genannten Fälle entspricht, versuchen Sie, das Abonnement erneut anzuhängen, oder führen Sie den Befehl
subscription-manager refresh aus, der Ihr System mit den neuesten Abonnementinformationen von Red Hat aktualisiert. Überprüfen Sie anschließend, ob die Berechtigungszertifikate im Verzeichnis /etc/pki/entitlement/ vorhanden sind. - Wenn das erworbene Abonnement abgelaufen ist, verlängern Sie Ihr Abonnement. Die Schritte zur Verlängerung finden Sie hier.
- Überprüfen Sie, ob in Ihren Systemen ein gültiges Red Hat-Repository konfiguriert ist,
- Prüfen Sie, ob es die erforderlichen Kriterien erfüllt, wie hier beschrieben.
- Wenn die gültige
.repo-Datei fehlt, stellen Sie sicher, dass in /etc/rhsm/rhsm.confmanage_repos auf "1" gesetzt ist.
- Für mit Red Hat Update Infrastructure (RHUI) registrierte Systeme in der Cloud ist eine aktive Verbindung erforderlich, um auf die über RHUI abonnierten Spiegelserver zuzugreifen.
- Bei Systemen, die mit Red Hat Satellite Server registriert sind, muss der Agent auf dem System installiert sein, auf dem der Satellite-Server installiert ist, da erwartet wird, dass er auf cdn.redhat.com verweist.
Stellen Sie sicher, dass cdn.redhat.com vom zentralen Server aus erreichbar ist.
Die folgenden Domains müssen auf die Whitelist gesetzt werden, damit die Red Hat-Pakete heruntergeladen werden können:
- https://cdn.redhat.com
Konfigurieren der Red Hat Linux-Einstellungen für das Patching
Automatischer Upload des Red Hat-Berechtigungszertifikats auf den Server
Wenn ein Agent installiert ist und das System die Voraussetzungen erfüllt, wird das Redhat-Berechtigungszertifikat automatisch vom System hochgeladen. Bei Systemen, die von einer Version unter 11.3.2440.1 aktualisiert wurden, wird standardmäßig das zuvor konfigurierte nominierte System berücksichtigt. Wenn das Zertifikat nach einigen Aktualisierungszyklen nicht hochgeladen wird, lädt ein anderer Agent mit einem gültigen Abonnement das Zertifikat hoch.
Manueller Upload des Red Hat-Berechtigungszertifikats auf den Server
Anstelle des automatischen Uploads können Sie das System für den Upload des Zertifikats manuell auswählen.
Wenn Sie die nicht verwaltete Edition erneut verwalten möchten, gehen Sie wie folgt vor:
- Navigieren Sie zu Patch Management -> Redhat Linux Settings Page -> Choose Alternate System
- Wählen Sie das System aus, das das Zertifikat hochladen soll.
Hinweis: Wenn ein hochgeladenes Redhat-Berechtigungszertifikat abgelaufen ist, ruft der Agent nicht automatisch das neueste Zertifikat von verfügbaren Systemen ab. Ein erneuter Zertifikats-Upload erfolgt nur bei manuell konfigurierten Systemen; halten Sie daher auf diesen Systemen stets ein aktives Abonnement aufrecht.
Edition deaktivieren
Wenn Sie eine bestimmte Edition nicht verwalten möchten, können Sie sie auf der Seite mit den Red Hat Linux-Einstellungen löschen. Das Entfernen einer Edition beeinträchtigt Patch-Vorgänge wie Scans und Bereitstellungen.
Schritte zur Konfiguration:
- Navigieren Sie zu Patch Management -> Redhat Linux Settings Page -> Disable Edition.
Hinweis: Wenn eine Edition deaktiviert ist, können Patch-Scan und Bereitstellung nicht durchgeführt werden. Wenn Sie die deaktivierte Edition erneut verwalten möchten, wenden Sie sich bitte an den Support
- Alle Systeme sind in der Cloud bei Red Hat Update Infrastructure (RHUI) registriert, und keines ist auf cdn.redhat.com ausgerichtet.
- Der Agent lädt die erforderlichen Metadateien und Patches direkt aus den in RHUI konfigurierten Repositories herunter.
- Eine hybride Umgebung, in der einige Systeme über RHUI in der Cloud abonniert sind, während andere direkt bei Red Hat registriert sind.
- Bei direkt bei Red Hat registrierten Systemen lädt der Agent die erforderlichen Metadatendateien und Patches direkt vom Endpoint Central Server herunter.
- Bei in der Cloud mit RHUI registrierten Systemen ruft der Agent die erforderlichen Metadateien und Patches direkt aus den konfigurierten RHUI-Repositories ab.
- Wenn Sie dieses Verhalten ändern möchten, sodass die Metadateien und Patches vom Endpoint Central Server heruntergeladen werden, muss eine interne Einstellung aktiviert werden. Bitte wenden Sie sich an den Support, um Hilfe zu erhalten.
RedHat-Berechtigungszertifikate
Red Hat-Berechtigungszertifikate sind wesentlich für die Verwaltung und Überprüfung des Abonnements eines RHEL-Systems. Diese Zertifikate gewährleisten einen sicheren und authentifizierten Zugriff auf Red Hat-Repositories, sodass das System entsprechend seinen abonnierten Berechtigungen Updates und Patches erhalten kann.
- Berechtigungszertifikate (*.pem): Diese Zertifikate stellen die dem System auf Basis der angehängten Abonnements gewährten Berechtigungen dar. Jedes Berechtigungszertifikat ist in der Regel mit einer eindeutigen Kennung benannt und hat die Erweiterung .pem. Sie enthalten Details zu den Produkten und Diensten, zu denen das System berechtigt ist, einschließlich Start- und Enddatum des Abonnements.
- Berechtigungsschlüsseldateien (*-key.pem): Zu jedem Berechtigungszertifikat gehört eine entsprechende private Schlüsseldatei mit der Erweiterung *-key.pem. Diese Schlüsseldateien werden in Verbindung mit den Berechtigungszertifikaten für die SSL/TLS-Authentifizierung beim Zugriff auf Red Hat Content Delivery Networks (CDN) oder Repositories verwendet.
Zweck der Zertifikate
Der Endpoint Central Server verwendet diese Zertifikate, um Metadatendateien und Patches sicher von cdn.redhat.com herunterzuladen.
Hinweis: Sobald das Zertifikat erfolgreich auf den Server hochgeladen wurde, wird der Offline-Download der Metadaten gestartet. Warten Sie mindestens einen Aktualisierungszyklus, damit der Server alle erforderlichen Offline-Metadateien herunterladen kann, bevor Sie den Patch-Scan oder die Bereitstellung starten.
