Red Hat Enterprise Linuxのパッチ管理について
Endpoint Central (Desktop Central) オンプレミス版 では、Red Hat Enterprise Linuxのパッチ管理にも対応しており、Red Hat Security Announce(RHSA)からリリースされるパッチを管理可能です。この記事では、Red Hatのパッチを管理するために必要な条件と、Red Hatのパッチ管理の設定手順について説明します。
Red Hat パッチ管理に必要な条件および手順
Red Hat パッチ管理に必要な条件
RedHatのパッチ管理を実行する場合、設定が必要になります。Red Hatのパッチ管理は他のOSのパッチ管理とは異なり、いくつかの条件を満たす必要があります。これは、Red Hatのパッチ提供を受けるにはRed Hatのサブスクリプションが必要なためです。
管理対象にRed Hatを追加するがパッチ管理は実行しない場合、この記事で説明している設定は不要です。
Red Hat パッチ管理に必要な前提条件
- Endpoint Central(Desktop Central)サーバーから https://access.redhat.com/ にアクセス可能なこと
ベンダーサイトとのアクセスが必要です。インターネット接続のない環境(閉域ネットワーク、クローズドネットワーク)では、Red Hat のパッチ管理機能は使用できません。
Endpoint Central(Desktop Central)サーバーがプロキシ経由でインターネットに接続する場合、プロキシ設定を完了させます。
- External Download ToolがEndpoint Central(Desktop Central)サーバーで実行可能なこと
External Download Toolは、Endpoint Central(Desktop Central)サーバーのコンポーネントの一つで、<サーバーフォルダー>\lib\Download Tool\に保存されます。サーバーフォルダーをアンチウイルスソフトの例外として登録していれば、この要件は通常自動的に満たされます。
- プロキシやファイアウォールが.jarや.rpmファイルをブロックしないこと
パッチのダウンロードが許可されている必要があります。
- すべての管理対象のRed Hatマシンにエージェントがインストール済みであり、かつすべての管理対象のサブスクリプションを有効化していること
管理対象となるすべてのRed Hatマシンにエージェントがインストールされており、また有効なサブスクリプションがアタッチされている必要があります。
以下のコマンドを実行し、状態がサブスクライブ済みであることを確認します。なお、Red Hatマシンはサブスクリプションの有効性の確認の際にインターネット接続が必要なため、管理対象は一時的にインターネット接続を必要とします(サブスクリプション有効性の確認以降、管理対象のRed Hatマシンは指定システムを除きインターネット接続は不要です)。sudo subscription-manager list
- 要件を満たすRed Hatマシンを指定システムに設定していること
指定システムの要件を満たすRed Hatマシンを「指定システム」として設定する必要があります。 - Red Hatアカウント(ユーザー名/パスワード)があること
製品版サブスクリプションや評価版サブスクリプションなど、有効なサブスクリプションをもつRed HatアカウントをEndpoint Central(Desktop Central)のRed Hat 設定画面で入力する必要があります。指定システムのサブスクリプションと同一のものを使用してください。
指定システム(Nominated System) の要件
- エージェント要件を満たすこと
指定システムは、特殊な役割を持つエージェントです。指定システムに設定するRed Hatにおいて、エージェントをインストールするためにエージェント要件を満たす必要があります。なおOSバージョン、ハードウェア要件については以下の追加要件があります。- ハードウェア要件
- ハードディスクに 20 GB以上の空き容量があること ※空き容量について
- RAM サイズが 4 GB以上あること
- プロセッサが Intel Core i3 (2 Core/4 Thread)2.0GHz 以上であること
※ 必要な空き容量について
Desktop Central 10.1.2137.11 以前のビルドの場合、YUMキャッシュを"/"(ルートパーティション)から移動できません。そのため、ルートパーティションに上記要件を満たす空き容量が必要となります。
YUMキャッシュの保存ディレクトリを変更する場合 /etc/yum.conf を編集します。詳細はHow to change the location of yum cache from the default /var/cache/yum?(Red Hat)をご覧ください。
なお管理対象にRed Hat Enterprise Linux 7が含まれる場合、YUMキャッシュのサイズが大きくなる不具合が確認されています。そのため、空き容量をこれより大きく確保する必要があります。詳細はこちらをご覧ください。 - ソフトウェア要件
- Red Hat Enterprise Linux 7 を管理対象に追加する場合、管理対象に含まれる Red Hat カテゴリ (Server / Desktop / Workstation) ごとに指定システムを設定する必要があります。※空き容量について
- RHEL 8, RHEL 9 (RHEL 8.3, RHEL 9.1 など)を管理対象に追加する場合、RHEL 7 以降(RHEL 7.0, RHEL 8.6 など、任意のマイナーリリース)の端末を指定システムとして使用可能です(RHEL 6 ではRHEL8, RHEL 9 に必要なファイルを取得できないため、指定システムとして使用できません)。ただし、例えば RHEL 8.6 は2022年にRed Hat社によるサポートが終了しており、RHEL 7.9 は2024年6月30日にサポート終了が予定されています。Red Hat社による通常のサポートが終了し、Extended Update Support (EUS) などの延長サポートの期間に移行した場合、「指定システム」「指定システム以外の管理対象」ともに、Endpoint Centralで対応可能なパッチの種類が限定されます。詳細は、「最新以外のマイナーリリースのRed Hat Enterprise Linuxを利用することはできますか?」(Endpoint Centralと同等のパッチ管理機能をもつ、Patch Manager Plusのナレッジです)をご覧ください。
- ハードウェア要件
- 通常のアクティブなサブスクリプションがアタッチされていること
通常の(=RHUIではない)サブスクリプションが必要です。 AWS EC2などのパブリッククラウド上では、PAYG方式(RHUI=クラウド利用料金にサブスクリプション料金が含まれる形式)のRed Hatサブスクリプションが使用されています。指定システムにおいては、RHUI方式のサブスクリプションに対応していません。
- インターネット接続があり、Red Hat Network(https://cdn.redhat.com/)にアクセス可能なこと
指定システムはRed Hat Networkにアクセスしてメタファイルをダウンロードし、YUMキャッシュを作成します。そのため、インターネット接続およびRed Hat Networkへのアクセスが許可されている必要があります。Red Hat Networkへのアクセスに必要なポートは通信ポートについておよびファイアウォールから Red Hat Network (yum/up2date/satellite-sync) にアクセスする方法(Red Hat)をご確認ください。ホワイトリスト登録が必要なドメイン
Red Hatのパッチ(パッケージ)のダウンロードのため、以下のドメインへのアクセスを許可する必要があります。- https://access.redhat.com
- https://cdn.datatables.net
- https://sso.redhat.com
- https://access.cdn.redhat.com
- https://static.redhat.com
- https://www.redhat.com
- https://cdn.jsdelivr.net
- https://code.jquery.com/
指定システムがRed Hat Networkにプロキシ経由で接続する場合
指定システムがRed Hat Networkにプロキシ経由で接続する場合、/etc/yum.conf にプロキシの情報を追記する必要があります。proxy=http://<proxy-server-IP-address or proxy-server-name>:<proxy_port>
proxy_username=<proxy-user-name>
proxy_password=<proxy-password>
(例)プロキシサーバーが proxy:3128 で、ユーザー名 user パスワード password1 の認証が必要な場合
proxy=http://proxy:3128
proxy_username=user
proxy_password=password1参考: How to enable Proxy Settings for Yum Command on RHEL?(Red Hat)
- ダウンタイムを最小にすること
メタファイルのダウンロードが失敗しないよう、指定システムのダウンタイムがなるべく短くなるようにします。
- Endpoint Central(Desktop Central)のご利用の前に、かならず本番環境と同じ言語設定のOSでご検証ください。日本語環境特有の仕様に起因する不具合が確認される場合があります。
- 既知の不具合をかならず確認し、ご利用中のビルドに対する影響の有無をご確認ください。
- Red Hatパッチ管理におけるトラブルシューティングのナレッジのほか、Red Hatタグのついた各ナレッジも合わせてご確認ください。
- ※管理対象に Red Hat 7 を含む場合、既知の不具合があります。こちらをご確認ください。
- Red Hat 8 以降においても、DNFではなくYUMを用いてパッケージを管理します。
- サポート対象のOSに記載されていないバージョンは管理できません。なおサポート対象に記載されているバージョンはその時点での日本国内向けリリース最新ビルドにおける対応状況です。日本国内向けの最新ビルドをご利用ではない場合、サポート対象のRed Hat Enterprise Linuxバージョンが異なるおそれがあります。技術サポートまでお問い合わせください。
- Red Hat Enterprise 6 以前のOSについては、RHEL6向けELS適用済みの環境であってもサポート対象外です。
Red Hatパッチ管理に必要な設定手順
Endpoint Central(Desktop Central) オンプレミス版では、Red Hatパッチ管理機能を使用するために、初回設定時にRed Hatアカウント情報と指定システム情報を入力する必要があります。
- 管理タブ > パッチ設定 > Red Hat Linuxの設定 から、Red Hatサブスクリプションの取得に使用した資格情報を入力します。
- [続行]をクリックしてしばらく(数分程度)待ちます。
Endpoint Central(Desktop Central)サーバーからhttps://access.redhat.com/downloads/にアクセスし、ここで入力した資格情報を用いてログインできること、またこの資格情報にパッケージをダウンロードする権限があることを確認してください。このアカウント情報は、.rpmパッケージを検証・ダウンロードするために必要です。
指定システムは専用マシンとする必要はありませんが、Red Hat パッチ管理に必須です。スペックには十分な余裕があることを確認します。
資格情報の入力後、いつまでも検証が終わらない場合は、サーバーログ、スクリーンショットを添えて技術サポートまでお問い合わせください。 - 指定システムに設定する管理対象Red Hatマシンのホスト名を入力します。
Red Hat 7 にはサーバー/デスクトップ/ワークステーションといったカテゴリがあり、管理対象に含まれる各カテゴリごとに1台のシステムを指定する必要があります。
- [保存]をクリックします。
以上で設定は完了です。指定システムの同期が完了すると、以下のような表示となります。今後Red Hat アカウントや指定システムを変更する場合は[編集]をクリックします。
Red Hatパッチ管理のアーキテクチャー
Endpoint Central(Desktop Central) は、Red Hatパッチ管理を以下のように実行します。
1.キャッシュの作成時
- Endpoint Central(Desktop Central)は、管理対象として登録されているRed Hatマシンのバージョン・アーキテクチャを検出します。
- 指定システムがEndpoint Central(Desktop Central)サーバーからキャッシュ作成用プラグインをダウンロードします。プラグインは指定システムに常駐します。
- プラグインがYUMを用いて、Red Hatポータルから同一カテゴリの管理対象に必要なメタファイルをダウンロードし、YUMキャッシュとして保存します。
- メタファイルはEndpoint Central(Desktop Central)サーバーにアップロードされます。
- Endpoint Central(Desktop Central)はメタファイルのデータを他の管理対象Red Hatマシンに配布します。
- 管理対象Red Hatマシンはメタデータを使用して欠落パッチと依存パッチを検出します。
2.パッチスキャンおよびパッチ配布時
- Endpoint Central(Desktop Central)サーバーは、パッチDBから得たパッチ情報をExternal Download Toolと同期します。
- Endpoint Central(Desktop Central)サーバーは、Red Hatマシンに対してパッチスキャンを実施し、欠落パッチを検出します。
- Red Hatマシンに対するパッチ配布を構成します(手動配布の作成または自動配布タスクが実行されます)。
- Endpoint Central(Desktop Central)に同期されたExternal Download Toolは、登録したアカウント資格情報を使用してRed Hatポータルからパッチとその依存パッチをダウンロードします。
- Endpoint Central(Desktop Central)サーバー本体がRed Hatポータルからダウンロードされたパッチをパッチリポジトリに複製します。配信サーバーを使用している場合は、さらに配信サーバーに複製されます。
- Red Hatマシンにパッチがダウンロードされ、インストールが実行されます。
Red Hat パッチ管理の運用
他のOSのパッチ管理と同様に、パッチDBの定期的な同期・パッチスキャンを実行することで、管理対象Red Hatマシンの欠落パッチが検出されます。
- 欠落パッチを確認する場合、パッチ管理タブ > パッチ > 欠落パッチを確認します。
- 各管理対象ごとの状態を確認する場合、パッチ管理タブ > システム内の各ビューを確認します。「欠落システム」列の数字をクリックするとコンピューター名を一覧表示します。
- Desktop Central 10.0.640以前のビルドでは、配布するパッチに未ダウンロードの依存パッチ(依存ファイル)がある場合、1回目の配布ではステータスが「失敗」になります(詳細はこちらをご覧ください)。Desktop Central 10.0.641以降およびEndpoint Centralの場合、仕様変更により基本的に1回目の配布で依存パッチを含めてすべてのパッチが配布されます。配布の直前にパッチスキャンを実行することを推奨します。
Endpoint Central (Desktop Central) のパッチ管理機能を使用して管理可能なパッチは、以下の種類のみとなります。また、任意のRed Hatのリポジトリを追加することはできません。
(例)Red Hat 7で管理可能なパッチのリポジトリ
- OS
- Updates
- Extras
Desktop Centralによって提供されるリポジトリについては、以下のコマンドを管理対象Red Hatで実行することで確認可能です。
yum -C --disablerepo=* --enablerepo=*-dc repolist
Red Hatパッチのフィルター条件を設定する場合、以下を参考にしてください。
- フィルター条件に「OS」「次と等しい」を選択すると、OSが選択可能になります。Red Hat Enterprise Linux をすべて選択することで、Red Hatパッチを表示させるフィルター条件を設定できます。
- Red Hat OSパッチ: 製品上のKB番号、Bulletin ID、パッチの種類はおおむね以下のように割り当てられます。
Red Hat errataにおける分類がRHSA: RHSA-XXXX-XXXXとして表示(パッチの種類: Security Updates)
Red Hat errataにおける分類がRHBA: RHNSA-XXXX-XXXXとして表示(パッチの種類: Non-Security Updates)
Red Hat errataにおける分類がRHEA: RHNSA-XXXX-XXXXとして表示(パッチの種類: Non-Security Updates)