Red Hat Enterprise Linuxのパッチ管理設定
確認ビルド: Endpoint Central 11.3.2400.33
Endpoint CentralはRed Hat Enterprise Linux(RHEL)に対応しています。Red HatのErrataで提供されているソフトウェアパッケージの修正や更新を、Endpoint Centralのパッチ管理機能によって各端末に適用し管理することが可能です。この記事では、RHEL端末のパッケージ管理を行うために必要な条件、ならびに管理のための設定手順について説明します。
Red Hat Enterprise Linux のパッケージ管理(パッチ管理)に必要な条件および手順
Red Hat Enterprise Linux のパッケージ管理(パッチ管理)に必要な前提条件
- Endpoint Centralサーバーから https://access.redhat.com/ および https://console.redhat.com を始めとする、Red Hatに関係するドメインにアクセス可能なこと(インターネット接続のない環境(閉域、隔離ネットワーク)では、Red Hat のパッチ管理機能は基本的に使用できません。なお、Endpoint Centralサーバーがプロキシ経由でインターネットに接続する場合、プロキシ設定を完了させます。)
- Endpoint Centralサーバーのコンポーネントである「外部ダウンロードツール(External Download Tool)」がEndpoint Centralサーバーで実行可能なこと(通常この条件は自動的に満たされ、ツールは<サーバーフォルダー>\lib\Download Tool\に保存されます。ただし、Endpoint Central 11.2.2300.30 以前のビルドにおいて、外部ダウンロードツールが自動的に最新版にアップグレードされない事象が確認されています。詳細はお問い合わせいただくか、またはEndpoint Central 11.3.2400.33 以降のビルドをご利用ください。)
- 管理対象のRed HatマシンにEndpoint Centralエージェントがインストール可能なこと
-
プロキシやファイアウォールが.jarや.rpmファイルをブロックしないこと
- 十分なRed Hat ライセンスを購入していること
-
SCA(Simple Content Access)が有効化されていない場合、すべての管理対象のRed Hat端末について、有効期間内のサブスクリプションをそれぞれアタッチしていること
※ 2024年の秋に、一部の場合を除いて、これまでSCAが有効化されていなかった環境においてもRed Hat社によってSCAが有効化されています。SCAの有効化についての説明(Endpoint Centralへの影響)につきましては、こちらのナレッジをご覧ください。 -
SCA(Simple Content Access)が有効化されている場合、すべての管理対象のRed Hat端末についてシステムをRed Hatに登録済みであり、かつEndpoint Centralのビルドが11.3.2400.33以降であること
- 有効なRed Hatライセンスに紐づく Red Hat アカウント(ユーザー名/パスワード)を持っていること
指定システム(Nominated System) の条件
指定システムは、特殊な役割を持つエージェントです。要件を満たすRed Hatマシンにエージェントをインストールし、指定システムとして設定する必要があります。
専用マシンとする必要はありませんが、要件を満たす必要があります。
-
Endpoint Centralエージェントがインストール済みのRed Hatマシンであること
指定システムは、特殊な役割を持つエージェントです。指定システムに設定するRed Hatマシンには、Endpoint Centralエージェント(Linux用エージェント)をあらかじめインストールしておく必要があります。なおOSバージョン、ハードウェア要件については以下の追加要件があります。- ハードウェア要件
- ハードディスクに 20 GB以上の空き容量があること
- RAM サイズが 4 GB以上あること
- プロセッサが Intel Core i3 (2 Core/4 Thread)2.0GHz 以上であること
※ 必要な空き容量について
デフォルトではYUMキャッシュの保存先が"/"(ルートパーティション)です。そのため、ルートパーティションに上記要件を満たす空き容量が必要となります。なおYUMキャッシュの保存ディレクトリを変更する場合は、 /etc/yum.conf を編集します。詳細はHow to change the location of yum cache from the default /var/cache/yum?(Red Hat)をご覧ください。 - ソフトウェア要件
-
管理対象に含まれる Red Hat カテゴリ (Server / Desktop / Workstation) ごとに指定システムを設定する必要があります。
-
RHEL 8, RHEL 9 (RHEL 8.3, RHEL 9.1 など)を管理対象に追加する場合、RHEL 8 以降(RHEL 8.1, RHEL 9.1 など、任意のマイナーリリース)のRHELマシン1台を指定システムに設定すれば、RHEL 8, RHEL9 のパッチ管理が可能です。
指定システムのOSバージョン
OSの仕様上、RHEL 7以降を指定システムに設定すれば RHEL 8, RHEL 9に必要なパッチを取得可能ですが、Endpoint Centralで RHEL 7 のサポートを終了したため、RHEL 8 以降をご用意ください。なおRHEL 6 ではRHEL 8, RHEL 9 に必要なファイルを取得できないため、指定システムとして使用できません。
OSのサポート期間とEndpoint Centralで対応可能なパッチ
例えば RHEL 8.6 は2022年にRed Hat社によるサポートが終了しており、RHEL 7.9 は2024年6月30日にサポートが終了しています。
Red Hat社による通常のサポートが終了し、Extended Update Support (EUS) などの延長サポートの期間に移行した場合、「指定システム」「指定システム以外の管理対象」ともに、Endpoint Centralで対応可能なパッチの種類が限定されます。詳細は、「最新以外のマイナーリリースのRed Hat Enterprise Linuxを利用することはできますか?」(Endpoint Centralと同等のパッチ管理機能をもつ、Patch Manager Plusのナレッジです)をご覧ください。
-
管理対象に含まれる Red Hat カテゴリ (Server / Desktop / Workstation) ごとに指定システムを設定する必要があります。
- ハードウェア要件
-
RHUI形式ではないライセンスを持つこと
指定システムにおいては、通常の(=RHUIではない)ライセンスが必要です(AWSやAzureなどのパブリッククラウド上では、通常RHUI形式のRed Hatライセンスが使用されています)。
-
インターネット接続があること
Red Hat Network(https://cdn.redhat.com/)にアクセス可能なこと、そのほか、Red Hatに関係するドメインにアクセス可能なことが必要です。
(なお、Red Hat Networkは今後 Hybrid Cloud Console への統合がRed Hatより予告されています。そのため、Hybrid Cloud Console(https://console.redhat.com)へのアクセスも可能にしておく必要があります。)
-
ダウンタイムを最小にすること
メタファイルのダウンロードが失敗しないよう、指定システムのダウンタイムがなるべく短くなるようにします。
通信を許可する必要があるドメイン
Endpoint CentralサーバーにおいてRed Hatのパッチ(パッケージ)のダウンロードを実行するため、また、指定システムにおいてメタファイルのダウンロードを実行するために、以下のドメインへのアクセスをそれぞれ許可する必要があります。(なお、指定システム以外のエージェントにおいては、これらのドメインへのアクセスが許可されていなくても構いません。)
Red Hatのパッチ(パッケージ)のダウンロードのため、以下のドメインへのアクセスを許可する必要があります。
- https://access.redhat.com
- https://console.redhat.com
- https://cdn.datatables.net
- https://sso.redhat.com
- https://access.cdn.redhat.com
- https://static.redhat.com
- https://www.redhat.com
- https://cdn.jsdelivr.net
- https://code.jquery.com/
Red Hat Networkにプロキシ経由で接続する場合、/etc/yum.conf にプロキシの情報を追記する必要があります。
proxy=http://<proxy-server-IP-address or proxy-server-name>:<proxy_port>
proxy_username=<proxy-user-name>
proxy_password=<proxy-password>
(例)プロキシサーバーが proxy:3128 で、ユーザー名 user パスワード password1 の認証が必要な場合
proxy=http://proxy:3128
proxy_username=user
proxy_password=password1
参考: How to enable Proxy Settings for Yum Command on RHEL?(Red Hat)
Endpoint Centralサーバーにおいて許可が必要なドメインについて、Red Hat以外のパッチ(例えばWindows端末に対するMicrosoft社によるパッチ)も含めた一覧はパッチダウンロードに必要な許可ドメイン一覧をご覧ください。
その他の注意点
- Endpoint Central(Desktop Central)のご利用の前に、かならず本番環境と同じ言語設定のOSでご検証ください。日本語環境特有の仕様に起因する不具合が確認される場合があります。
- 既知の不具合をかならず確認し、ご利用中のビルドに対する影響の有無をご確認ください。
- Red Hatパッチ管理におけるトラブルシューティングのナレッジのほか、Red Hatタグのついた各ナレッジも合わせてご確認ください。
- Red Hat 8 以降においても、DNFではなくYUMを用いてパッケージを管理します。
- サポート対象のOSに記載されていないバージョンは管理できません。なおサポート対象に記載されているバージョンはその時点での日本国内向けリリース最新ビルドにおける対応状況です。日本国内向けの最新ビルドをご利用ではない場合、サポート対象のRed Hat Enterprise Linuxバージョンが異なるおそれがあります。技術サポートまでお問い合わせください。
- Red Hat Enterprise 7 以前のOSについては、RHEL6向けELS適用済みの環境であってもサポートの対象外です。
Red Hatパッチ管理に必要な設定手順
Endpoint Central(Desktop Central) オンプレミス版では、Red Hatパッチ管理機能を使用するために、初回設定時にRed Hatアカウント情報と指定システム情報を入力する必要があります。
- 「管理」タブ →「パッチ設定」→「Red Hat Linuxの設定」を開きます。
-
Red Hatサブスクリプションの取得に使用した資格情報を入力します。
- [続行]をクリックしてしばらく(数分程度)待ちます。
Endpoint Central(Desktop Central)サーバーからRed Hatポータル(https://access.redhat.com/downloads/)にアクセスし、ここで入力した資格情報を用いてログインできること、またこの資格情報にパッケージをダウンロードする権限があることを確認してください。このアカウント情報は、.rpmパッケージを検証・ダウンロードするために必要です。
資格情報の入力後、いつまでも検証が終わらない場合は、サーバーログ、スクリーンショットを添えて技術サポートまでお問い合わせください。 -
指定システムに設定する管理対象Red Hatマシンのホスト名を入力します。
Red Hat にはサーバー/デスクトップ/ワークステーションといったカテゴリがあり、管理対象に含まれる各カテゴリごとに1台のシステムを指定する必要があります。通常サーバーなので「サーバー」を選択します。
指定システムは専用マシンとする必要はありませんが、Red Hat パッチ管理に必須です。スペックには十分な余裕があることを確認します。 - [保存]をクリックします。
以上で設定は完了です。指定システムの同期が完了すると、以下のような表示となります。今後Red Hat アカウントや指定システムを変更する場合は[編集]をクリックします。
Red Hatパッチ管理のアーキテクチャー
Endpoint Central(Desktop Central) は、Red Hatパッチ管理を以下のように実行します。
1.キャッシュの作成時
- Endpoint Central(Desktop Central)は、管理対象として登録されているRed Hatマシンのバージョン・アーキテクチャを検出します。
- 指定システムがEndpoint Central(Desktop Central)サーバーからキャッシュ作成用プラグインをダウンロードします。プラグインは指定システムに常駐します。
- プラグインがYUMを用いて、Red Hat管理対象に必要な「メタファイル」をダウンロードし、YUMキャッシュとして保存します。
- メタファイルがEndpoint Central(Desktop Central)サーバーにアップロードされます。
- Endpoint Central(Desktop Central)はメタファイルのデータを他の管理対象Red Hatマシンに配布します。
- 管理対象Red Hatマシンはメタデータを使用して欠落パッチと依存パッチを検出します。
2.パッチスキャンおよびパッチ配布時
- Endpoint Central(Desktop Central)サーバーは、パッチDBから得たパッチ情報をExternal Download Toolと同期します。
- Endpoint Central(Desktop Central)サーバーは、Red Hatマシンに対してパッチスキャンを実施し、欠落パッチを検出します。
- Red Hatマシンに対するパッチ配布を構成します(手動配布の作成または自動配布タスクが実行されます)。
- Endpoint Central(Desktop Central)に同期されたExternal Download Toolは、登録したアカウント資格情報を使用してRed Hatポータルからパッチとその依存パッチをダウンロードします。
- Endpoint Central(Desktop Central)サーバー本体がRed Hatポータルからダウンロードされたパッチをパッチリポジトリに複製します。配信サーバーを使用している場合は、さらに配信サーバーに複製されます。
- Red Hatマシンにパッチがダウンロードされ、インストールが実行されます。
Red Hat パッチ管理の運用
他のOSのパッチ管理と同様に、パッチDBの定期的な同期・パッチスキャンを実行することで、管理対象Red Hatマシンの欠落パッチが検出されます。
- 欠落パッチを確認する場合、パッチ管理タブ > パッチ > 欠落パッチを確認します。
- 各管理対象ごとの状態を確認する場合、パッチ管理タブ > システム内の各ビューを確認します。「欠落システム」列の数字をクリックするとコンピューター名を一覧表示します。
- Desktop Central 10.0.640以前のビルドでは、配布するパッチに未ダウンロードの依存パッチ(依存ファイル)がある場合、1回目の配布ではステータスが「失敗」になります(詳細はこちらをご覧ください)。Desktop Central 10.0.641以降およびEndpoint Centralの場合、仕様変更により基本的に1回目の配布で依存パッチを含めてすべてのパッチが配布されます。配布の直前にパッチスキャンを実行することを推奨します。
Endpoint Central (Desktop Central) のパッチ管理機能を使用して管理可能なパッチは、以下の種類のみとなります。また、任意のRed Hatのリポジトリを追加することはできません。
(例)Red Hat 7で管理可能なパッチのリポジトリ
- OS
- Updates
- Extras
Desktop Centralによって提供されるリポジトリについては、以下のコマンドを管理対象Red Hatで実行することで確認可能です。
yum -C --disablerepo=* --enablerepo=*-dc repolist
Red Hatパッチのフィルター条件を設定する場合、以下を参考にしてください。
- フィルター条件に「OS」「次と等しい」を選択すると、OSが選択可能になります。Red Hat Enterprise Linux をすべて選択することで、Red Hatパッチを表示させるフィルター条件を設定できます。
-
Red Hat OSパッチ: 製品上のKB番号、Bulletin ID、パッチの種類はおおむね以下のように割り当てられます。
Red Hat errataにおける分類がRHSA: RHSA-XXXX-XXXXとして表示(パッチの種類: Security Updates)
Red Hat errataにおける分類がRHBA: RHNSA-XXXX-XXXXとして表示(パッチの種類: Non-Security Updates)
Red Hat errataにおける分類がRHEA: RHNSA-XXXX-XXXXとして表示(パッチの種類: Non-Security Updates)