Red Hat Errata web サイトからセキュリティ RPM をダウンロードする
セキュリティエラータレポートがリリースされる場合はRed Hat Errata web サイト (Relevant Errats) に公開されます。このページで Get the latest security updates for Red Hat products リンクをクリックし、利用可能な RHEL バージョンの一覧から、お使いの製品とバージョンを選択し、そのページの上部でセキュリティを選択すると、Red Hat Enterprise Linux セキュリティアドバイザリだけが表示されます。そのアドバイザリの概要で、お使いのシステムで使用されているパッケージについて説明している場合は、その概要をクリックするとその詳細が表示されます。もしくは、download section からパッケージを表示することもできます。正しい製品とバージョンをクリックしたら、[errata] タブに移動します。このインターフェイスにはダウンロードリンクも表示されます。
詳細ページでは、セキュリティの悪用、そして、セキュリティホールを修正するためにパッケージのアップデートに加えて必要となる特別な手順について説明されてます。
アップデートされたパッケージをダウンロードする場合は、パッケージ名をクリックしてハードドライブに保存します。新しいディレクトリ (/tmp/updates など) を作成し、ダウンロードしたパッケージをすべてそのディレクトリに保存することが強く推奨されます。
Red Hat Enterprise Linux パッケージは Red Hat, Inc の GPG キーによって署名されています。Red Hat Enterprise Linux の RPM ユーティリティは、インストールする前に RPM パッケージの GPG 署名を自動的に確認しようとします。Red Hat, Inc. の GPG キーがインストールされていない場合は、Red Hat Enterprise Linux インストール CD-ROM など、安全で固定されている場所からインストールします。
/mnt/cdrom
に CD-ROM がマウントされている場合は、以下のコマンドを実行してキーリングにインポートします。
rpm --import /mnt/cdrom/RPM-GPG-KEY
RPM の確認のためにインストールしたキーの一覧を表示するには、以下のコマンドを実行します。
rpm -qa gpg-pubkey*
Red Hat, Inc. キーの場合、出力には以下のようなものが文字列が含まれます。
gpg-pubkey-db42a60e-37ea5438
特定キーの詳細を表示する場合は、rpm -qi コマンドに続けて先程のコマンドの結果を追加します。たとえば以下のようになります。
rpm -qi gpg-pubkey-db42a60e-37ea5438
ここで特に重要なことは、RPM ファイルをインストールする前にファイルの署名を確認することです。これにより、そのファイルが Red Hat, Inc. がリリースしたパッケージのものであることが確認できます。ダウンロードしたパッケージをすべて一度に確認するには、以下のコマンドを実行します。
rpm -K /tmp/updates/*.rpm
それぞれのパッケージに対して GPG キーが正しく確認されると、このコマンドは gpg OK
と返します。
GPG キーを検証し、そのエラータレポートに関連するパッケージをすべてダウンロードしたら、シェルプロンプトで root 権限でパッケージをインストールします。
(カーネルパッケージを除く) ほとんどのパッケージの場合、以下のコマンドを実行すればパッケージを安全にインストールすることができます。
rpm -Uvh /tmp/updates/*.rpm
カーネルパッケージの場合、は以下のコマンドを実行することが推奨されます。
rpm -ivh /tmp/updates/< kernel-package>
ここで <kernel-package> をカーネル RPM の名前に置き換えます。
新しいカーネルでマシンを安全に再起動できたら、以下のコマンドを実行して古いカーネルを削除することもできます。
rpm -e <old-kernel-package>
ここで、< old-kernel-package> は、以前のカーネル RPM の名前に置き換えます。
注意: 古いカーネルを削除する必要はありません。
重要: セキュリティエラータをインストールする前にエラータレポートに含まれる注意を読んで、手順を順番に実行するようにしてください。
Comments