Red Hat Enterprise Linuxのパッチ管理設定について
Patch Manager Plusでは、Red Hat Enterprise Linuxのパッチ管理にも対応しており、Red Hat Security Announce(RHSA)からリリースされるセキュリティパッチを管理可能です。この記事では、Red Hatのパッチを管理するために必要な条件と、Red Hatのパッチ管理の設定手順について説明します。
Red Hat Enterprise Linux のパッチ管理に必要な条件および手順
Red Hat Enterprise Linux のパッチ管理に必要な条件
Red Hat Enterprise Linux のパッチ管理に必要な前提条件
- Patch Manager Plusサーバーから https://access.redhat.com/にアクセス可能なこと(閉域ネットワーク/オフライン環境でのRed Hatのパッチ管理はできません)
- Patch Manager Plusサーバーのコンポーネントである「外部ダウンロードツール」がPatch Manager Plusサーバーで実行可能なこと(通常この条件は自動的に満たされます)
- 管理対象のRed HatマシンにPatch Manager Plusエージェントがインストール可能なこと
- プロキシが.jarや.rpmファイルをブロックしないこと
- 十分なRed Hat ライセンスを購入し、管理対象のサブスクリプションを有効化していること
- 有効なサブスクリプションに紐づく Red Hat アカウント(ユーザー名/パスワード)を持っていること
AWS上のRed Hatマシンのサブスクリプションについて
指定システムに使用するRed Hatマシンは、AWS上のインスタンス以外のマシンを推奨します。
AWS上のRed HatマシンはPAYG方式のライセンスであるため、サブスクリプションは有効であるものの対応するRed Hatアカウントがありません。Patch Manager Plusオンプレミス版ではRed Hatアカウントおよびそれに紐づくサブスクリプションが必要であることから、PAYG方式のライセンスとは別にRed Hatアカウントとサブスクリプションが必要になります。
指定システム(Nominated System) の条件
- Patch Manager Plusエージェントがインストール済みのRed Hatマシンであること
- アクティブなサブスクリプションがアタッチされていること
指定システムのサブスクリプションで使用するアカウントはPatch Manager Plusコンソール上の「管理」→「Red Hat Linuxの設定」で指定したのと同一のものを使用してください。
- https://cdn.redhat.com/にアクセス可能なこと
(※ Red Hat CDN はロードバランサとしてAkamaiを使用しているため、Akamaiへの通信が発生する場合があるようです。参考: https://access.redhat.com/articles/1525183) - インターネット接続があること
ホワイトリスト登録が必要なドメイン
Red Hatのパッチ(パッケージ)のダウンロードのため、以下のドメインへのアクセスを許可する必要があります。- https://access.redhat.com
- https://cdn.datatables.net
- https://sso.redhat.com
- https://access.cdn.redhat.com
- https://static.redhat.com
- https://www.redhat.com
- https://cdn.jsdelivr.net
- https://code.jquery.com/
- ダウンタイムを最小にすること
- YUMキャッシュのあるパーティション(通常は "/" ルートパーティション)に少なくとも 20 GB の空き容量があること *注
- RAMサイズが 4 GB 以上あること
- プロセッサ:Intel Core i3 (2 Core/4 Thread)2.0GHz以上であること
- RHEL 8, RHEL 9 (RHEL 8.3, RHEL 9.1 など)を管理対象に追加する場合、RHEL 7 以降(RHEL 7.0, RHEL 8.6 など、任意のマイナーバージョン)の端末を指定システムとして使用可能です(RHEL 6 ではRHEL8, RHEL 9 に必要なファイルを取得できないため、指定システムとして使用できません)。ただし、例えば RHEL 8.6 は2022年にRed Hat社によるサポートが終了しており、RHEL 7.9 は2024年6月30日にサポート終了が予定されています。Red Hat社による通常のサポートが終了し、Extended Update Support (EUS) などの延長サポートの期間に移行した場合、「指定システム」「指定システム以外の管理対象」ともに、Patch Manager Plusで対応可能なパッチの種類が限定されます。詳細は「最新以外のマイナーリリースのRed Hat Enterprise Linuxを利用することはできますか?」をご覧ください。
- Red Hat 7 以下の場合、管理対象のRed Hat のカテゴリ(Server / Desktop / Workstation)と指定システムのRed Hat のカテゴリ(Server / Desktop / Workstation)が一致すること
*注……Red Hat Enterprise Linux 7 を管理対象にした場合、指定システムに必要なディスクサイズが大きくなる既知の不具合があります。Red Hat 7 を管理する場合は 30 GB以上、 Red Hat 7 および Red Hat 8 を管理する場合は 50 GB以上の空き領域を確保することを推奨いたします(Red Hat 8 のみを管理する場合、不具合の影響がないため、空き領域に関する要件に変更はありません)。
*注2……Patch Manager Plus 10.1.2203.1 より前のビルドにおいてRed Hat Linuxの設定が「検証中です」のまま進行しない不具合が確認されています。
指定システムでは、YUMキャッシュを保存しておく必要があり、その容量は非常に大きくなります。ディスクサイズが十分ない場合、他のサービス等に悪影響を及ぼす可能性があります。空き領域が過少とならないようご注意ください。
Red Hat 7 を管理する場合のYUMキャッシュのサイズ: 10 GB - 15 GB
Red Hat 8 を管理する場合のYUMキャッシュサイズ: 10 - 12 GB
Red Hat 7 を管理する場合のYUMキャッシュのサイズ: 10 GB - 15 GB
Red Hat 8 を管理する場合のYUMキャッシュサイズ: 10 - 12 GB
Red Hatパッチ管理に必要な設定手順
Patch Manager PlusでRed Hatのパッチ管理を実施するには、上記の前提条件を満たし、かつRed Hatアカウント情報およびシステムを指定(Nominated Systemを設定)する必要があります。
- 管理タブ > パッチ設定 > Red Hat Linuxの設定 から、Red Hatサブスクリプションの取得に使用した資格情報を入力します。入力後、[続行]をクリックしてしばらく待ちます。
この資格情報に、https://access.redhat.com/downloads/からパッケージをダウンロードする権限があることを確認してください。このアカウント情報は、.rpmパッケージを検証およびダウンロードするために必要です。
- 上記の条件を満たす指定システムを、Patch Manager Plusエージェントがインストールされた管理対象の中から選択するします(あらかじめ指定システムにするための Red Hat マシンを用意し、管理対象に追加しておきます)。指定システムのホスト名を入力します。
Red Hat7以前にはサーバー/デスクトップ/ワークステーションといったカテゴリがありますが、各カテゴリごとに1台のシステムを指定する必要があります。Patch Manager Plusは、指定システムがYUMを用いてメタファイルをダウンロードし、そのメタファイルを用いてパッチを適用します。
- 指定システムの登録が完了すると、他のLinux OSと同様の手順でパッチ管理が可能になります。
Red Hatパッチ管理のアーキテクチャー
Patch Manager Plusは、Red Hatパッチ管理を以下のように実行します。
1.キャッシュの作成
- Red HatコンピューターへのPatch Manager Plusエージェントインストールが完了すると、Patch Manager PlusはRed Hatのバージョン・アーキテクチャを検出します。
- 管理タブ > パッチ設定 > Red Hat Linuxの設定を開き、上記の設定を完了させます。
- キャッシュの作成が自動的に進行します。
- 指定システムが自動的にPatch Manager Plusサーバーからキャッシュ作成用プラグインをダウンロードします。プラグインは指定システムに常駐します。
- プラグインがYUMを用いて、Red Hatポータルから同じカテゴリの管理対象に必要なメタファイル(YUMキャッシュ)をダウンロードします。
- メタファイルはPatch Manager Plusサーバーにアップロードされます。
- Patch Manager Plusがメタデータを他のRed Hatマシンに配布し、メタデータを使用して不足するパッチと依存関係を検出します。
指定システムの使用するポートは、通常のエージェントと同じポートを使用します。
2.パッチスキャンとパッチ配布
設定が完了した場合、通常のパッチと同様に管理が可能です。
- Patch Manager Plusサーバーは、パッチDBから得たパッチリリース情報を外部DLツール(External Download Tool)と同期します。
- Patch Manager Plusサーバーは、Red Hatマシンに対してパッチスキャンを実施し、欠落パッチを検出します。
- Patch Manager Plusに同期された外部ダウンロードツールは、登録したアカウント資格情報を使用してRed Hatポータルからパッチとその依存ファイルをダウンロードします。
- Red HatポータルからダウンロードされたパッチをPatch Manager Plusサーバーが保存します。配信サーバーを使用している場合は配信サーバーに複製されます。
- パッチを配布すると、Red Hatマシンにパッチがダウンロードされ、インストールが実行されます。指定システムにもエージェントがインストールされているため、管理者が選択すれば他の管理対象Red Hatマシンと同様にパッチがインストールされます。
(2021年4月末時点の仕様情報)
Patch Manager Plusを使用して管理可能なパッチは、以下の種類のみとなります。また、任意のRed Hatのリポジトリを追加することはできません。
(例)Red Hat 7で管理可能なパッチのリポジトリ
Patch Manager Plusを使用して管理可能なパッチは、以下の種類のみとなります。また、任意のRed Hatのリポジトリを追加することはできません。
(例)Red Hat 7で管理可能なパッチのリポジトリ
- OS
- Updates
- Extras
Patch Manager Plusによって提供されるリポジトリについては、以下のコマンドを管理対象Red Hatで実行することで確認可能です。
yum -C --disablerepo=* --enablerepo=*-dc repolist