Red Hat Training

A Red Hat training course is available for RHEL 8

セキュリティー更新の管理および監視

Red Hat Enterprise Linux 8

Red Hat Enterprise Linux 8 でセキュリティー更新の管理および監視を行うためのガイド

Red Hat Customer Content Services

概要

本書は、セキュリティー更新の概要、インストール方法、および更新に関する追加情報を表示する方法を説明します。

Red Hat ドキュメントへのフィードバック

ご意見ご要望をお聞かせください。ドキュメントの改善点ございませんか。改善点を報告する場合は、以下のように行います。

  • 特定の文章に簡単なコメントを記入する場合は、ドキュメントが Multi-page HTML 形式になっているのを確認してください。コメントを追加する部分を強調表示し、そのテキストの下に表示される Add Feedback ポップアップをクリックし、表示された手順に従ってください。
  • より詳細なフィードバックを行う場合は、Bugzilla のチケットを作成します。

    1. Bugzilla の Web サイトにアクセスします。
    2. Component で Documentation を選択します。
    3. Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも記入してください。
    4. Submit Bug をクリックします。

第1章 セキュリティーの概要

本章では、Red Hat Enterprise Linux 8 にセキュリティー更新をインストールする際に重要となるトピックの概要を説明します。

1.1. セキュリティーアドバイザリーとは

Red Hat は、セキュリティーアドバイザリーの形で、Red Hat の製品およびサービスに影響を及ぼすセキュリティーの欠陥に関する情報を提供します。

RHSA (Red Hat Security Advisories) には、以下のような重要な情報が含まれます。

  • 重大度
  • 修正された問題の概要
  • その問題に関するチケットへのリンク。すべてのチケットが公開されているわけではないことに注意してください。
  • CVE 番号と、攻撃の複雑性などの詳細が記載されたページへのリンク。

関連資料

第2章 セキュリティー更新の特定

本章では、利用可能なセキュリティー更新と、すでにインストールされているセキュリティー更新の一覧を表示する方法を説明します。

2.1. 利用可能なセキュリティー更新の表示

本セクションでは、yum ユーティリティーを使用して、システムで利用可能なセキュリティー更新の一覧を表示する方法を説明します。

前提条件

  • 有効な Red Hat サブスクリプションがホストに割り当てられている。

手順

  1. 利用可能なセキュリティーの中から、ホストにインストールされていない更新の一覧を表示します。

    $ sudo yum updateinfo list updates security
    ...
    RHSA-2019:0997 Important/Sec. platform-python-3.6.8-2.el8_0.x86_64
    RHSA-2019:0997 Important/Sec. python3-libs-3.6.8-2.el8_0.x86_64
    RHSA-2019:0990 Moderate/Sec.  systemd-239-13.el8_0.3.x86_64
    ...

2.2. ホストにインストールされているセキュリティー更新の表示

Red Hat Enterprise Linux 8 ホストにインストールされているセキュリティー更新の一覧を表示する場合は、yum updateinfo list security installed コマンドを使用します。本セクションでは、コマンドとその出力を説明します。

手順

  1. ホストにインストールされているセキュリティー更新の一覧を表示します。

    $ sudo yum updateinfo list security installed
    ...
    RHSA-2019:1234 Important/Sec. libssh2-1.8.0-7.module+el8+2833+c7d6d092
    RHSA-2019:4567 Important/Sec. python3-libs-3.6.7.1.el8.x86_64
    RHSA-2019:8901 Important/Sec. python3-libs-3.6.8-1.el8.x86_64
    ...

    1 つのパッケージで、複数の更新がインストールされている場合は、yum で、そのパッケージのアドバイザリーがすべて表示されます。上記の例では、Red Hat Enterprise Linux 8 のインストール以降、python3-libs パッケージのセキュリティー更新が 2 つインストールされています。

第3章 セキュリティーアドバイザリーの表示

本章では、RHSA (Red Hat Security Advisories) に関する情報が記載されている場所と、アドバイザリーを表示する方法を説明します。

3.1. カスタマーポータルでセキュリティー更新の表示

Red Hat は、Red Hat カスタマーポータルでセキュリティーアドバイザリーを公開しています。本セクションでは、アドバイザリーの場所と、アドバイザリーにフィルターをかけて表示する方法を説明します。

手順

  1. ブラウザーで、Security Advisories を開きます。

    このページには、Red Hat が公開しているセキュリティーアドバイザリーがすべて表示されます。

  2. 必要に応じて、特定の製品、バリアント、バージョン、およびアーキテクチャーでフィルターをかけます。たとえば、Red Hat Enterprise Linux 8 サーバーのアドバイザリーのみを表示するには、以下のフィルターを設定します。

    • 製品: Red Hat Enterprise Linux
    • バリアント: Red Hat Enterprise Linux Server
    • バージョン: 8
  3. 特定のアドバイザリーの詳細を表示する場合は、表に記載されるアドバイザリーの ID をクリックします。

    カスタマーポータルに一覧表示されたセキュリティーアドバイザリー

3.2. yum を使用して特定のアドバイザリーを表示

アドバイザリーが提供する更新がインストールされていない場合は、yum ユーティリティーを使用して、そのアドバイザリーを表示します。

前提条件

  • 有効な Red Hat サブスクリプションがホストに割り当てられている。
  • セキュリティーアドバイザリーの ID が分かっている。ホストにインストールされていてるセキュリティー更新と、利用可能なセキュリティー更新のアドバイザリーを表示する方法は、2章セキュリティー更新の特定を参照してください。
  • そのアドバイザリーが提供する更新がインストールされていない。

手順

  1. アドバイザリーを表示します。たとえば、アドバイザリー RHSA-2019:0997 の詳細を表示するには、以下のコマンドを実行します。

    $ sudo yum updateinfo info RHSA-2019:0997
    ===============================================================================
      Important: python3 security update
    ===============================================================================
      Update ID: RHSA-2019:0997
           Type: security
        Updated: 2019-05-07 05:41:52
           Bugs: 1688543 - CVE-2019-9636 python: Information Disclosure due to urlsplit improper NFKC normalization
           CVEs: CVE-2019-9636
    Description: ...

第4章 セキュリティー更新のインストール

本章では、Red Hat Enterprise Linux 8 にセキュリティー更新をインストールする方法を説明します。

前提条件

  • 有効な Red Hat サブスクリプションがホストに割り当てられている。

4.1. 利用可能なすべてのセキュリティー更新のインストール

本セクションでは、ホストで利用可能なセキュリティー更新をすべてインストールする方法を説明します。

手順

  1. セキュリティー更新をすべてインストールするには、以下のコマンドを入力します。

    $ sudo yum update --security

    --security パラメーターを使用しないと、yum は、バグ修正および機能強化が含まれる更新もインストールします。

  2. y を押して、インストールを起動します。

    ...
    Transaction Summary
    ===========================================
    Upgrade  ... Packages
    
    Total download size: ... M
    Is this ok [y/d/N]: y
  3. 必要に応じて、更新したパッケージのインストール後に手動で再起動する必要のあるプロセスの一覧を表示します。

    $ yum needs-restarting

関連資料

4.2. 特定のアドバイザリーが提供するセキュリティー更新のインストール

たとえば、あるサービスを、ダウンタイムをスケジュールせずに更新できる場合に、管理者が、このサービスのセキュリティー更新のみをインストールし、その他のセキュリティー更新は後でインストールするとします。

本セクションは、特定のセキュリティーアドバイザリーが提供する更新パッケージをインストールする方法を説明します。

前提条件

  • 有効な Red Hat サブスクリプションがホストに割り当てられている。
  • セキュリティーアドバイザリーの ID が分かっている。ホストにインストールされているセキュリティー更新と、利用可能なセキュリティー更新のアドバイザリーを表示する方法は、2章セキュリティー更新の特定を参照してください。

手順

  1. 特定のセキュリティーアドバイザリーが提供するセキュリティー更新をインストールします。たとえば、アドバイザリー RHSA-2019:0997 が提供する更新をインストールするには、以下のコマンドを実行します。

    $ sudo yum update --advisory=RHSA-2019:0997
  2. y を押して、インストールを起動します。

    ...
    Transaction Summary
    ===========================================
    Upgrade  ... Packages
    
    Total download size: ... M
    Is this ok [y/d/N]: y
  3. 必要に応じて、更新したパッケージのインストール後に手動で再起動する必要のあるプロセスの一覧を表示します。

    $ yum needs-restarting

関連資料

第5章 セキュリティー更新の適用後のタスク

Red Hat Enterprise Linux 8 へセキュリティー更新をインストールした後、追加のタスクが必要になる場合があります。本セクションでは、3 つのタスクを説明します。

5.1. セキュリティー更新の適用後に再起動が必要なサービスの表示

Red Hat Enterprise Linux 8 でパッケージを更新する場合は、更新されたライブラリーおよび実行ファイルを使用する特定のプロセスを手動で再起動する必要があります。本セクションでは、このようなプロセスを指定する方法を説明します。

前提条件

手順

  1. 更新前のライブラリーまたは実行ファイルを引き続き使用しているプロセスを一覧表示するには、以下のコマンドを実行します。

    $ sudo yum needs-restarting
    1107 : /usr/sbin/rsyslogd -n
    1199 : -bash
    ...

    yum needs-restarting コマンドは、サービスではなく、プロセスだけを表示します。これは、systemctl ユーティリティーで表示されたプロセスをすべて再起動できるわけではないことを意味します。たとえば、このプロセスを所有するユーザーがログアウトすると、この出力内の bash プロセスが終了します。

法律上の通知

Copyright © 2019 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.