Descripción » Características » Gestión de parches de RedHat (RHEL)

Gestión de parches de RedHat (RHEL)

La gestión de parches para Red Hat Enterprise Linux permite a los administradores gestionar todos los parches de seguridad y otros publicados por Red Hat Security Advisory (RHSA), para los equipos y servidores suscritos a Red Hat. Permite identificar, instalar y auditar las actualizaciones de los paquetes Red Hat, ayudando a las empresas a mantener un alto nivel de seguridad en los endpoints Linux.

¿Cómo configurar los ajustes de Red Hat Linux para realizar el parcheo de Red Hat?

Nota: Para aplicar parches de Red Hat, se recomienda que todos los endpoints gestionados dispongan de suscripciones estándar para Red Hat Enterprise Linux.

Este documento instructivo proporciona los requisitos previos para parchear los sistemas Red Hat e instrucciones para configurar los ajustes de Red Hat.

Prerrequisitos para parchear servidores y equipos Red Hat Linux:

  1. Asegúrese de que el equipo Red Hat designado tenga una suscripción estándar a Red Hat Enterprise Linux que apunte a la CDN de Red Hat
  2. Configure los ajustes del proxy en YUM y asegúrese de que se puede acceder a https://cdn.redhat.com/ desde el sistema designado.
  3. Asegúrese de que se puede acceder a https://access.redhat.com/ desde el servidor central.
  4. Asegúrese de que la descarga de parches en el entorno Red Hat Linux se activa a través de una herramienta de descarga externa. Puede localizar esta herramienta en Directorio del servidor instalado -> Lib -> Herramienta de descarga disponible en el servidor central.
  5. Instale agentes en los sistemas RHEL que se deben parchear.
  6. Permita que su proxy descargue archivos .jar, .rpm.
  7. Verifique si ha adquirido suficientes licencias para sus necesidades de parcheo.

  8. Asegúrese de que los equipos Red Hat disponen de al menos 20GB de espacio en el directorio /var/cache para la sincronización meta sin conexión.

    Nota: Para adjuntar/registrar la licencia a Red Hat, todos los equipos Red Hat gestionados deben conectarse a Internet "al menos" una vez y autenticarse con el sistema de gestión de suscripciones de Red Hat. Sólo entonces podremos validar correctamente el estado de suscripción del equipo. Aparte de esta instancia, los equipos (distintos del equipo designado) no necesitan una conexión activa a Internet.

Pasos para designar el sistema para la gestión de parches de RHEL

1. Proporcionar información sobre la cuenta de Red Hat

  • Proporcione las credenciales con las que ha adquirido la suscripción a Red Hat. Se requiere esta información para validar y descargar todos los paquetes .rpm de su red.
  • Asegúrese de que esta credencial tiene permisos para descargar paquetes de https://access.redhat.com/downloads/ a los equipos servidores.

2. Designación del sistema

La designación del sistema es un proceso que consiste en seleccionar manualmente un equipo de cada una de estas categorías: servidor, desktop y estación de trabajo en su red. Los sistemas seleccionados se utilizarán para descargar los archivos meta requeridos por la herramienta YUM para la aplicación de parches.

Red Hat Linux utiliza YUM (Yellow dog Updater Modified) como solución de gestión de paquetes. YUM proporciona todas las dependencias necesarias para implementar un parche.

Requisitos previos para designar un equipo:

  1. Verifique si el agente de UEMS está instalado en el equipo.
  2. Compruebe si el sistema designado tiene una suscripción activa a Red Hat.
  3. Configure el proxy en YUM de forma que se pueda acceder a https://cdn.redhat.com/ desde el sistema designado.
  4. Asegúrese de que dispone de una conexión a Internet activa sin restricciones de firewall. Sólo el equipo designado requiere una conexión activa a Internet.
  5. Asegúrese de que hay al menos 20GB de espacio libre para el directorio de caché (ubicación predeterminada: /var).
  6. Asegúrese de que el tiempo de inactividad del equipo sea mínimo.
  7. El equipo designado debe tener las siguientes especificaciones
    • Tamaño de RAM: 4 GB o más.
    • Procesador: Intel Core i3 (2 núcleos / 4 hilos) 2.0 GHz o más

Pasos que debe seguir para la designación del sistema:

  1. Indique el nombre del equipo designado para la categoría Servidor.
  2. Indique el nombre del equipo designado para la categoría Desktop.
  3. Indique el nombre del equipo designado para la categoría Estación de trabajo.

3. Lista blanca de dominios

Los siguientes dominios deben estar en la lista blanca para que se descarguen los paquetes de Red Hat:

  • https://access.redhat.com
  • https://cdn.datatables.net
  • https://sso.redhat.com
  • https://access.cdn.redhat.com
  • https://static.redhat.com
  • https://www.redhat.com
  • https://cdn.jsdelivr.net
  • https://code.jquery.com/

Arquitectura y proceso de parcheo de Red Hat:

Esta sección explica los procesos necesarios para aplicar parches a los sistemas Red Hat con la ayuda de diagramas de arquitectura.

1. Creación de caché

rh-cache-creation

Pasos implicados en el proceso de creación de la caché:

  1. El servidor de parches detecta las versiones y la arquitectura de Red Hat disponibles en todos los sistemas de su red.
  2. El sistema designado (para la categoría de servidores) descarga el plugin RH Cache del servidor. El plugin residirá en el sistema designado.
  3. El plugin RH Cache en el sistema designado descarga los archivos meta necesarios para todos los demás sistemas de la red (que pertenecen a la categoría de 'servidores') desde el portal de Red Hat, utilizando la herramienta YUM.
  4. A continuación, los archivos descargados se cargan en el servidor.
  5. Todos los demás sistemas que residen en la red reciben los datos del servidor. Cada sistema utiliza los metadatos para detectar los parches faltantes y las dependencias.

Nota: Los pasos anteriores se refieren a la categoría de Servidores. Esos pasos también aplican para la categoría de Estaciones de trabajo y Desktops.

2. Escaneo e implementación

rh-scan-deployment

Pasos implicados en el proceso de escaneo e implementación de parches:

  1. El servidor central sincroniza la herramienta de descarga externa y la información de los parches compatibles desde el repositorio central de parches de ManageEngine.
  2. El servidor inicia el escaneo en todos los sistemas Red Hat y detecta los parches que faltan.
  3. La herramienta de descarga externa descarga los parches y las dependencias del portal de Red Hat utilizando las credenciales de cuenta proporcionadas.
  4. a) Los archivos descargados se replican desde el servidor central a los servidores de distribución. Los agentes de la oficina remota descargan los archivos del servidor de distribución.
  5. b) Otros agentes descargan los archivos del servidor central.
  6. Una vez descargados y disponibles los parches, se procede a su implementación.

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas