使用带有 FedRAMP 的修复 Playbook 进行系统补丁

Red Hat Insights 1-latest

如何查看适用的公告和受影响的系统

Red Hat Customer Content Services

摘要

本文档演示了如何查看环境中带有 FedRAMP® 的适用公告和受影响的系统,并执行补救。
红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 信息

第 1 章 补丁(Patch)服务概述

补丁利用红帽软件和管理自动化专业知识,为跨开放混合云的 Red Hat Enterprise Linux (RHEL)系统启用一致的补丁工作流。它在所有部署中都提供了适用公告的规范视图,无论它们是 Red Hat Satellite、托管的 Red Hat Subscription Management (RHSM)还是公共云。

使用 Insights 补丁服务

  • 有关检查 Insights 的 RHEL 系统,请查看所有适用的 Red Hat 和 Extra Packages for Enterprise Linux (EPEL)公告。
  • 使用补救 playbook 对一个或多个公告的系统进行补丁。
  • 请参阅上一次系统检查过程中可用的软件包更新和非红帽软件仓库。您的主机必须正在运行 Red Hat Enterprise Linux (RHEL) 7、RHEL 8.6+ 或 RHEL 9,且必须维护新的 yum/dnf 缓存。

1.1. 补丁和漏洞勘误的标准

补丁服务收集各种数据,为您的系统创建有意义的和可操作勘误表。Insights 客户端在每个检查中收集以下数据:

  • 安装的软件包列表,包括名称、epoch、版本、发行版和架构(NEVRA)
  • 启用的模块列表(RHEL 8 及更新的版本)
  • 启用的软件仓库列表
  • yum updateinfo -Cdnf updateinfo -C的输出
  • 使用版本锁定的系统发行版本
  • 系统架构(例如:x86_64)

另外,Insights for Red Hat Enterprise Linux 从以下数据源收集元数据:

  • 来自 Red Hat Content Delivery Network (CDN)提供的产品存储库中的元数据
  • Extra Packages for Enterprise Linux (EPEL)软件仓库的元数据
  • 红帽开放式漏洞和评估语言(OVAL)源

Insights for Red Hat Enterprise Linux 将系统数据集合与收集的勘误和漏洞元数据进行比较,以便为每个系统生成一组可用的更新。这些更新包括软件包更新、红帽勘误表以及常见漏洞披露(CVE)。

其他资源

有关常见漏洞和暴露(CVE)的更多信息,请参阅以下资源:

1.2. 检查和过滤清单中的适用公告和系统

您可以查看所有适用的公告以及检查 Red Hat Insights for Red Hat Enterprise Linux 的系统的软件包。

流程

  1. Red Hat Hybrid Cloud Console 上,进入到 Content > Advisories
  2. 您还可以使用搜索框按名称搜索公告,并通过以下方法过滤公告:

    1. type - Security, Bugfix, Enhancement, Unknown
    2. 发布日期 - 最后 7 天、30 天、90 天、最后一年或 1 年以前
  3. 导航到 Content > Patch > Systems 以查看您可以使用适用公告补丁的受影响系统列表。您还可以使用搜索框搜索特定系统。
  4. 导航到 Content > Packages 以查看环境中有可用更新的软件包列表。您还可以使用搜索框搜索特定软件包。

1.3. 使用 Insights 修复 playbook 的系统补丁

以下步骤演示了 Red Hat Insights for Red Hat Enterprise Linux 中 Content > Advisories 页面中的补丁工作流:

流程

  1. Red Hat Hybrid Cloud Console 上,进入到 Content > Advisories
  2. 点您要应用到受影响系统的公告。您将看到公告的描述、在 access.redhat.com 中查看软件包和勘误的链接,以及受影响系统的列表。另外,还会为每个系统显示每种类型的适用公告(Security, Bugfix, enhancement)的总数。
  3. 选择您要为其创建 playbook 的系统,然后单击 Remediate
  4. 您可以选择修改现有 Playbook 或创建新 Playbook。相应地,从下拉列表中选择 Existing Playbook 和 playbook 名称,然后单击 Next。或者,选择 Create new Playbook 并输入您的 playbook 的名称,然后点 Next
  5. 在左侧导航中,点 Remediations
  6. 单击 playbook 名称以查看 playbook 详情,或者只需选择,然后单击 Download playbook

1.4. 为由 Red Hat Satellite 管理的系统更新勘误

Insights for Red Hat Enterprise Linux 根据系统检查时报告的软件包、存储库和模块计算适用的更新。Insights 将这些结果与客户端侧评估相结合,并将生成的更新超集存储为适用更新。

系统检查 Red Hat Insights 包括以下与内容相关的数据:

  • 已安装的软件包
  • 启用的软件仓库
  • 启用的模块
  • 更新列表,客户端使用 dnf updateinfo -C 命令来确定。此命令主要捕获非红帽软件仓库的软件包更新

Insights 使用这个数据收集来计算系统的适用更新。

有时,Insights 会计算由 Red Hat Satellite 管理的系统的适用更新,并报告不准确的结果。此问题可以通过两种方式清单:

  • Insights 显示无法在 Satellite 管理的系统中安装的可安装更新。
  • Insights 显示与补丁后立即安装的内容匹配的适用更新,但显示过期或稍后缺少的更新。当系统订阅了已重命名的 RHEL 软件仓库时,会出现这种情况。

Insights 现在提供了一个可选的 check-in 命令,用于为 Satellite 管理的系统上适用的更新提供准确的报告。这个选项重建 yum/dnf 软件包缓存,并为系统创建适用的更新列表。

注意

Satellite 管理的系统没有有资格应用 Red Hat Insights 内容模板。

先决条件

  • 系统的管理员级别访问权限

流程

  • 要从命令行重建软件包缓存,请输入以下命令:

    # insights-client --build-packagecache

命令重新生成 dnf/yum 缓存,并从 Satellite 收集相关可安装勘误表。然后,Insights -client 会生成刷新的更新列表并将其发送到 Insights。

注意

生成的更新列表等同于 dnf updateinfo list 命令的输出。

1.4.1. 为 insights-client 配置自动检查

您可以编辑系统上的 insights-client 配置文件(/etc/insights-client/insights-client.conf),以在每次系统检查到 Insights 时自动重建软件包缓存。

流程

  1. 在文本编辑器中打开 /etc/insights-client/insights-client.conf 文件。
  2. 查看该文件中的以下注释:

    #Set build_packagecache=True to refresh the yum/dnf cache during the insights-client check-in
  3. 在注释后添加以下行:

    build_packagecache=True
  4. 保存您的编辑并退出编辑器。

当系统下次检查 Satellite 时,insights-client 会在收集客户端侧评估的输出前执行 yum/dnf 缓存刷新。然后,Insights 将客户端评估输出报告为可安装的更新。根据已发布到 CDN 的内容,评估输出报告为适用更新。

其他资源

1.5. 启用通知和集成

您可以在 Red Hat Hybrid Cloud Console 上启用通知服务,以便在补丁服务检测到问题并生成公告时发送通知。使用通知服务可自由地检查 Red Hat Insights for Red Hat Enterprise Linux 仪表板。

例如,您可以将通知服务配置为在补丁服务生成公告时自动发送电子邮件消息。

启用通知服务需要三个主要步骤:

  • 首先,机构管理员会创建一个具有 Notifications-administrator 角色的 User Access 组,然后将帐户成员添加到组中。
  • 接下来,通知管理员为通知服务中的事件设置行为组。行为组指定每个通知的交付方法。例如,行为组可以指定电子邮件通知是否发送到所有用户,或者仅发送给机构管理员。
  • 最后,从事件接收电子邮件通知的用户必须设置其用户首选项,以便他们为每个事件接收单独的电子邮件。

除了发送电子邮件消息外,您还可以配置通知服务,以使用经过身份验证的客户端发送事件数据来查询 Red Hat Insights API。

其他资源

第 2 章 在 Red Hat Hybrid Cloud Console 中对系统应用补丁

Red Hat Insights 补丁应用程序支持调度的补丁周期。您可以创建一个补丁模板,在测试环境中更新一组系统,并使用同一补丁模板来更新生产环境中的系统。

2.1. 补丁模板的工作方式

Red Hat Insights 补丁应用程序支持调度的补丁周期。您可以创建一个补丁模板,在测试环境中更新一组系统,并使用同一补丁模板来更新生产环境中的系统。

使用补丁模板输入限制适用于您系统的公告范围的条件。例如,您可以创建一个模板来仅显示当前补丁周期日期发布的适用公告。创建模板后,使用向导添加系统并选择补丁周期的日期。完成系统添加到补丁模板后,您可以修复所选系统组的所有可安装公告。

如果系统已经应用了补丁模板,应用不同的补丁模板会覆盖现有的模板。系统一次只能有一个补丁模板。

有关补救的更多信息,请参阅 Red Hat Insights 修复指南

注意

将补丁模板应用到您分配的系统后,您不会看到适用于这些系统的最近发布的公告。使用 Red Hat Hybrid Cloud Console 通知以确保您了解可能影响您基础架构的新发布的公告。

有关 Red Hat Hybrid Cloud Console 中的通知的更多信息,请参阅使用 FedRAMP 在 Red Hat Hybrid Cloud Console 上配置通知

补丁模板不会影响主机上的 yum/dnf 操作,但它们允许您优化 Red Hat Insights 中的补丁状态报告。您可以使用模板为简单的补丁周期创建修复 playbook。

2.2. 创建补丁模板

您可以创建一个补丁模板来限制适用于您系统的公告范围。例如,您可以忽略当前补丁周期日期后发布的公告。

先决条件

  • 以机构管理员身份登录到 Red Hat Hybrid Cloud Console。

流程

  1. 使用左侧菜单导航到 Content > Patch > Templates
  2. Create a template。Create patch template 向导将打开并显示 Create content template 页面。
  3. 点日期图标选择 Patch 模板日期。patch 模板将发布至所选日期的公告。点 Next
  4. Name 字段中输入模板的唯一名称。
  5. 可选:Description 字段中为模板添加描述。
  6. Next。这时将显示 Apply to systems 页面。
  7. 可选: 选择您要分配给模板的系统并点 NextReview 页面会显示。
  8. 检查模板信息。检查完后,单击 Submit

在创建了完模板后,系统会更新其可安装公告列表。更新时间取决于您的安装中的系统数量。

其他资源

2.3. 编辑现有补丁模板

编辑补丁模板以更新补丁模板名称或描述,为下一个补丁周期设置新日期,或者添加或删除系统。

先决条件

  • 您已创建了补丁模板。
  • 以机构管理员身份登录到 Red Hat Hybrid Cloud Console。

流程

  1. 使用左侧菜单导航到 Content > Patch > Templates。此时会显示可用补丁模板的列表。
  2. 找到您要编辑的补丁模板。
  3. 点击包含模板行右侧的菜单按钮。此时会出现弹出窗口。
  4. 选择 Edit template。这会打开 Edit template 向导,并显示 Edit content template 页面。
  5. 可选: 编辑补丁模板日期。点 Next。此时将显示 Edit template 详情页面
  6. 可选: 编辑模板名称和描述。点 Next。这时将显示 Apply to systems 页面。
  7. 添加或删除分配给模板的系统,然后单击 NextReview 页面会显示。
  8. 检查更新的模板信息。检查完后,单击 Submit

如果您编辑了补丁模板日期或从模板添加或删除分配的系统,则系统会在几分钟后更新其可安装公告列表。更新时间取决于您的安装中的系统数量。

2.4. 从补丁模板添加或删除系统

要将系统添加到补丁模板或从模板中删除系统,请使用 Edit template 向导。

先决条件

  • 您已创建了补丁模板。
  • 以机构管理员身份登录到 Red Hat Hybrid Cloud Console。

流程

  1. 使用左侧菜单导航到 Content > Patch > Templates。此时会显示可用补丁模板的列表。
  2. 找到您要编辑的补丁模板。
  3. 点击包含模板行右侧的菜单按钮。此时会出现弹出窗口。
  4. 选择 Edit template。这会打开 Edit template 向导,并显示 Edit content template 页面。
  5. 可选: 编辑 Patch 模板日期。
  6. Next。此时将显示 Edit template 详情页面
  7. 可选: 编辑模板名称和描述。
  8. Next。这时将显示 Apply to systems 页面。
  9. 添加或删除分配给模板的系统,然后单击 NextReview 页面会显示。
  10. 检查更新的模板信息。检查完后,单击 Submit

系统在几分钟后更新其可安装的公告列表。更新时间取决于您的安装中的系统数量。

2.5. 将现有的补丁模板应用到所选系统

您可以将现有的补丁模板应用到从列表中选择的独立系统中。

先决条件

  • 您已创建了补丁模板。
  • 以机构管理员身份登录到 Red Hat Hybrid Cloud Console。

流程

  1. 使用左侧菜单进入到 Content > Patch > Systems。此时会显示可用系统列表。
  2. 选择您要将补丁模板应用到的系统或系统。
  3. 点 Remediate 按钮和 Export 图标旁边的 More options 菜单。
  4. 选择 Assign to a template。此时将显示 Apply template 对话框。
  5. 单击 Select an existing template,然后从下拉列表中选择模板。
  6. Apply template,将模板应用到所选系统。

所选系统在几分钟后更新。更新时间取决于您的安装中的系统数量。

2.6. 删除补丁模板

如果您要将系统或系统分配给不同的补丁模板,或者您希望系统接收除当前补丁模板边界外创建日期的补丁和更新,您可能希望删除补丁模板。

先决条件

  • 您已创建了补丁模板。
  • 模板分配有系统。
  • 以机构管理员身份登录到 Red Hat Hybrid Cloud Console。

流程

  1. 使用左侧菜单导航到 Content > Patch > Templates。此时会显示可用补丁模板的列表。
  2. 找到您要删除的补丁模板。
  3. 点击包含模板行右侧的菜单按钮。此时会出现弹出窗口。
  4. 选择 Remove patch 模板

删除模板后几分钟后,系统会更新其可安装公告列表。更新时间取决于您的安装中的系统数量。

2.7. 将新的补丁模板应用到所选系统

从列表中选择各个系统后,您可以创建一个新的补丁模板以应用到所选系统。

先决条件

  • 您已创建了补丁模板。
  • 以机构管理员身份登录到 Red Hat Hybrid Cloud Console。

流程

  1. 使用左侧菜单进入到 Content > Patch > Systems。此时会显示可用系统列表。
  2. 选择您要为其创建新补丁模板的系统或系统。
  3. 点 Remediate 按钮和 Export 图标旁边的 More options (three dots)菜单。
  4. 选择 Assign to a template。此时将显示 Apply template 对话框。
  5. Create 按钮。Create content template 向导将打开,并显示 Define template content 页面。
  6. 点日期图标。选择一个日期以应用该日期发布的所有可安装公告,然后点 Next。此时会显示 Details 页面。
  7. Name 字段中输入模板的唯一名称。
  8. 可选:Description 字段中为模板添加描述。
  9. Next。此时会出现 Apply to systems 页面,并显示您选择的系统列表。

    注意

    如果系统已经有分配的补丁模板,新的补丁模板会覆盖前面的模板。

  10. NextReview 页面会显示。
  11. 检查模板信息。检查完后,单击 Submit

所选系统在几分钟后更新。更新时间取决于您的安装中的系统数量。

2.8. 从所选系统中删除补丁模板

您可以从列表中选择系统,并从这些系统中删除应用的补丁模板。从系统中删除模板不会删除模板。

先决条件

  • 您已创建了补丁模板。
  • patch 模板已应用到您安装中的系统。
  • 以机构管理员身份登录到 Red Hat Hybrid Cloud Console。

流程

  1. 使用左侧菜单进入到 Content > Patch > Systems。此时会显示可用系统列表。列表中的 Template 列显示已应用补丁模板的系统以及模板的名称。
  2. 选择您要为其创建新补丁模板的系统或系统。
  3. 点 Remediate 按钮和 Export 图标旁边的 More options (three dots)菜单。
  4. 从模板 中选择 Remove。这时将显示 Remove systems from a patch template 对话框。
  5. 删除按钮。此时会出现成功消息。

所选系统在 Template 列中显示 No template 状态。更新时间取决于您的安装中的系统数量。

对红帽文档提供反馈

我们非常感谢并对我们文档的反馈进行优先排序。提供尽可能多的详细信息,以便快速解决您的请求。

先决条件

  • 已登陆到红帽客户门户网站。

流程

要提供反馈,请执行以下步骤:

  1. 点击以下链接: Create Issue
  2. Summary 文本框中描述问题或功能增强。
  3. Description 文本框中提供有关问题或请求的增强的详细信息。
  4. Reporter 文本框中键入您的名称。
  5. Create 按钮。

此操作会创建一个文档票据,并将其路由到适当的文档团队。感谢您花时间来提供反馈。

法律通告

Copyright © 2024 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.