FedRAMP 準拠の Remediation Playbook を使用したシステムパッチの適用
適用可能なアドバイザリーと影響を受けるシステムを確認する方法
概要
第1章 パッチサービスの概要
パッチは、Red Hat のソフトウェアおよび管理の自動化の専門知識を活用して、オープンハイブリッドクラウド全体にわたり Red Hat Enterprise Linux (RHEL) システムに一貫したパッチワークフローを可能にします。Red Hat Satellite、ホスト型 Red Hat Subscription Management (RHSM)、パブリッククラウドなど、すべてのデプロイメントで適用可能なアドバイザリーの単一の正規ビューを提供します。
Insights パッチサービスを使用して、以下を実行します。
- Insights にチェックインする RHEL システムに適用される Red Hat and Extra Packages for Enterprise Linux (EPEL) アドバイザリーをすべて参照してください。
- Remediation Playbook を使用して、1 つ以上のアドバイザリーを含むシステムにパッチを適用します。
-
最後のシステムチェックインの時点で、Red Hat および Red Hat 以外のリポジトリーで利用可能なパッケージの更新を参照してください。ホストは Red Hat Enterprise Linux (RHEL) 7、RHEL 8.6 以降、または RHEL 9 を実行している必要があり、新しい
yum/dnf
キャッシュを維持する必要があります。
- Red Hat Hybrid Cloud Console > the Settings アイコン (⚙) > Identity & Access Management > User Access > Users で、ロールベースアクセス制御 (RBAC) を設定します。
- この機能の詳細と使用例は、FedRAMP を使用したロールベースのアクセス制御 (RBAC) でのユーザーアクセス設定ガイド を参照してください。
1.1. パッチおよび脆弱性の正誤表の基準
パッチサービスは、さまざまなデータを収集して、システムにとって有意義で実用的なエラータを作成します。Insights クライアントは、チェックインごとに次のデータを収集します。
- 名前、エポック、バージョン、リリース、およびアーキテクチャーを含む、インストール済みパッケージのリスト (NEVRA)
- 有効なモジュールのリスト (RHEL 8 以降)
- 有効なリポジトリーのリストを表示します。
-
yum updateinfo -C
またはdnf updateinfo -C
の出力 - バージョンロックを使用してシステムからバージョンをリリースする
-
システムアーキテクチャー (例:
x86_64
)
さらに、Insights for Red Hat Enterprise Linux は、次のデータソースからメタデータを収集します。
- Red Hat Content Delivery Network (CDN) によって提供される製品リポジトリーからのメタデータ
- Enterprise Linux (EPEL) リポジトリーの追加パッケージからのメタデータ
- Red Hat Open Vulnerability and Assessment Language (OVAL) フィード
Insights for Red Hat Enterprise Linux は、システムデータのセットを収集されたエラータおよび脆弱性メタデータと比較して、システムごとに利用可能な更新のセットを生成します。これらの更新には、パッケージの更新、Red Hat errata、Common Vulnerabilities and Exposures (CVE) が含まれます。
関連情報
Common Vulnerabilities and Exposures (CVE) の詳細は、次のリソースを参照してください。
1.2. インベントリーで適用可能なアドバイザリーおよびシステムの確認およびフィルタリング
Red Hat Insights for Red Hat Enterprise Linux にチェックインするシステムに適用可能なすべてのアドバイザリーとインストール済みパッケージを確認できます。
手順
- Red Hat Hybrid Cloud Console で、Content > Advisories に移動します。
検索ボックスを使用して名前でアドバイザリーを検索し、以下のようにアドバイザリーをフィルタリングすることもできます。
- タイプ: セキュリティー、バグ修正、強化、不明
- 発行日: 過去 7 日、30 日、90 日、前年、または 1 年前よりも前
- Content > Patch > Systems に移動して、影響を受けるシステムのうち、該当するアドバイザリーでパッチを適用できるシステムのリストを表示します。検索ボックスを使用して特定のシステムを検索することもできます。
- Content > Packages に移動して、環境で利用可能な更新を含むパッケージのリストを表示します。検索ボックスを使用して特定のパッケージを検索することもできます。
1.3. Insights Remediation Playbook を使用したシステムパッチの適用
以下の手順は、Red Hat Insights for Red Hat Enterprise Linux の Content > Advisories ページにおけるパッチのワークフローを説明しています。
手順
- Red Hat Hybrid Cloud Console で、Content > Advisories に移動します。
- 影響を受けるシステムに適用するアドバイザリーをクリックします。アドバイザリーの説明、access.redhat.com でパッケージとエラータを表示するリンク、および影響を受けるシステムのリストが表示されます。各システムに対して適用可能な各タイプのアドバイザリーの合計数 (セキュリティー、バグ修正、機能強化) も表示されます。
- Playbook を作成するシステムを選択し、Remediate をクリックします。
- 既存の Playbook の修正または新規 Playbook の作成を選択できます。したがって、ドロップダウンリストから Existing Playbook および Playbook 名を選択し、Next をクリックします。または、Create new Playbook を選択し、Playbook の名前を入力してから Next をクリックします。
- 左側のナビゲーションで、Remediations をクリックします。
- Playbook 名をクリックして Playbook の詳細を確認することができます。または、Playbook を選択して Download Playbook をクリックします。
1.4. Red Hat Satellite に管理されるシステムのエラータの更新
Insights for Red Hat Enterprise Linux は、システムがチェックイン時に報告するパッケージ、リポジトリー、モジュールに基づいて、適用可能な更新を計算します。Insights はこれらの結果をクライアント側の評価と組み合わせ、結果として得られた更新のスーパーセットを適用可能な更新として保存します。
Red Hat Insights へのシステムチェックインには、次のコンテンツ関連データが含まれます。
- インストールされたパッケージ
- 有効なリポジトリー
- 有効なモジュール
-
クライアントが
dnf updateinfo -C
コマンドを使用して決定する更新のリスト。このコマンドは主に Red Hat 以外のリポジトリーのパッケージ更新をキャプチャーします。
Insights は、このデータのコレクションを使用して、システムに適用可能な更新を計算します。
Insights は、Red Hat Satellite によって管理されるシステムに適用可能な更新を計算し、不正確な結果を報告することがあります。この問題は、次の 2 つの方法で発生する可能性があります。
- Insights には、Satellite 管理システムにインストールできないインストール可能な更新が表示されます。
- Insights では、パッチ適用後すぐにシステムにインストールできるものと一致する適用可能な更新プログラムが表示されますが、1 - 2 日後には古くなった更新プログラムや不足している更新プログラムが表示されます。これは、名前が変更された RHEL リポジトリーにシステムがサブスクライブされている場合に発生する可能性があります。
Insights では、Satellite 管理システムに適用可能な更新に関する正確なレポートを提供するためのオプションのチェックインコマンドが提供されるようになりました。このオプションは、yum/dnf
パッケージキャッシュを再構築し、システムに適用可能な更新の更新リストを作成します。
Satellite で管理されるシステムには、Red Hat Insights コンテンツテンプレートを適用できません。
前提条件
- システムへの管理者レベルのアクセス
手順
コマンドラインからパッケージキャッシュを再構築するには、次のコマンドを入力します。
# insights-client --build-packagecache
このコマンドは、dnf/yum
キャッシュを再生成し、Satellite から関連するインストール可能なエラータを収集します。その後、insights-client
は更新された更新リストを生成し、それを Insights に送信します。
生成された更新リストは、dnf updateinfo list
コマンドの出力と同等です。
1.4.1. insights-client の自動チェックインの設定
システム上の insights-client
設定ファイル (/etc/insights-client/insights-client.conf
) を編集して、システムが Insights にチェックインするたびにパッケージキャッシュを自動的に再構築することができます。
手順
-
テキストエディターで
/etc/insights-client/insights-client.conf
ファイルを開きます。 ファイル内で次のコメントを探します。
#Set build_packagecache=True to refresh the yum/dnf cache during the insights-client check-in
コメントの後に次の行を追加します。
build_packagecache=True
- 編集内容を保存してエディターを終了します。
システムが次に Satellite にチェックインすると、insights-client
はクライアント側の評価の出力を収集する前に yum/dnf
キャッシュの更新を実行します。その後、Insights はクライアント側の評価出力をインストール可能な更新プログラムとして報告します。CDN に公開された内容に基づく評価出力は、適用可能な更新として報告されます。
関連情報
-
--build-packagecache
オプションの詳細は、ナレッジベースソリューション https://access.redhat.com/solutions/7041171 を参照してください。 - Red Hat Satellite でのエラータの管理の詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_satellite/6.15/html/managing_content/managing_errata_content-management を参照してください。
1.5. 通知およびインテグレーションの有効化
パッチサービスが問題を検出してアドバイザリーを生成するたびに、Red Hat Hybrid Cloud Console の通知サービスを有効にして通知を送信できます。通知サービスを使用すると、Red Hat Insights for Red Hat Enterprise Linux ダッシュボードでアドバイザリーを継続的にチェックする必要がなくなります。
たとえば、パッチサービスがアドバイザリーを生成するたびに電子メールメッセージを自動的に送信するように通知サービスを設定できます。
通知サービスを有効にするには、以下の 3 つの主要なステップが必要です。
- まず、組織管理者は Notifications-administrator ロールを持つ User Access グループを作成し、そのグループにアカウントメンバーを追加します。
- 次に、通知管理者が通知サービス内のイベントの動作グループを設定します。動作グループは、通知ごとに配信方法を指定します。たとえば、動作グループは、メール通知をすべてのユーザーに送信するか、組織管理者にのみ送信するかを指定できます。
- 最後に、イベントからメール通知を受信するユーザーは、各イベントの個別メールを受け取るようにユーザー設定を行う必要があります。
メールメッセージの送信に加えて、認証されたクライアントを使用して Red Hat Insights API をクエリーするイベントデータを送信するように通知サービスを設定できます。
関連情報
- パッチアドバイザリーの通知を設定する方法の詳細は、FedRAMP を使用した Red Hat Hybrid Cloud Console での通知の設定 を参照してください。
第2章 Red Hat Hybrid Cloud Console でのシステムへのパッチの適用
Red Hat Insights パッチアプリケーションは、スケジュールされたパッチ適用サイクルをサポートします。テスト環境でシステムのグループを更新するパッチテンプレートを作成し、同じパッチテンプレートを使用して実稼働環境のシステムを別の日に更新できます。
2.1. パッチテンプレートの仕組み
Red Hat Insights パッチアプリケーションは、スケジュールされたパッチ適用サイクルをサポートします。テスト環境でシステムのグループを更新するパッチテンプレートを作成し、同じパッチテンプレートを使用して実稼働環境のシステムを別の日に更新できます。
パッチテンプレートを使用して、システムに適用されるアドバイザリーの範囲を制限する基準を入力します。たとえば、テンプレートを作成して、現在のパッチ適用サイクルの日付まで公開されていた、該当するアドバイザリーのみを表示できます。テンプレートを作成したら、ウィザードを使用してシステムを追加し、パッチ適用サイクルの日付を選択します。パッチテンプレートへのシステムの追加が完了したら、選択したシステムグループのインストール可能なアドバイザリーをすべて修正できます。
システムにすでにパッチテンプレートが適用されている場合、別のパッチテンプレートを適用すると、既存のテンプレートがオーバーライドされます。システムは一度に 1 つのパッチテンプレートのみを持つことができます。
修復の詳細は、FedRAMP を使用した Red Hat Insights 修復ガイド を参照してください。
割り当てたシステムにパッチテンプレートを適用すると、それらのシステムに該当する、最近公開されたアドバイザリーは表示されなくなります。Red Hat Hybrid Cloud Console の通知を使用すると、インフラストラクチャーに影響を与える可能性のある新しく公開されたアドバイザリーを確実に把握できます。
Red Hat Hybrid Cloud Console の通知の詳細は、Red Hat Hybrid Cloud Console with FedRAMP での通知の設定 を参照してください。
パッチテンプレートは、ホストの yum/dnf
操作には影響しませんが、Red Hat Insights でパッチステータスレポートを絞り込むことができます。テンプレートを使用して、簡単なパッチサイクルの Remediation Playbook を作成できます。
2.2. パッチテンプレートの作成
パッチテンプレートを作成すると、システムに適用されるアドバイザリーの範囲を制限できます。たとえば、現在のパッチ適用サイクルの日付以降に公開されたアドバイザリーを無視することができます。
前提条件
- Red Hat Hybrid Cloud Console に組織管理者としてログインしている。
手順
- 左側のメニューを使用して、Content > Patch > Templates に移動します。
- Create a template をクリックします。Create patch template ウィザードが開き、Create content template ページが表示されます。
- 日付アイコンをクリックして、パッチテンプレートの日付を選択します。パッチテンプレートは、選択した日付までに公開されたアドバイザリーを適用します。Next をクリックします。
- Name フィールドにテンプレートの一意の名前を入力します。
- オプション: Description フィールドにテンプレートの説明を追加します。
- Next をクリックします。Apply to systems ページが表示されます。
- Optional: テンプレートに割り当てるシステムを選択し、Next をクリックします。Review ページが表示されます。
- テンプレート情報を確認します。確認が終了したら、Submit をクリックします。
テンプレートの作成が終了したら数分後に、システムはインストール可能なアドバイザリーのリストを更新します。更新時間は、インストール内のシステムの数によって異なります。
関連情報
- 修復の詳細は、FedRAMP を使用した Red Hat Insights 修復ガイド を参照してください。
2.3. 既存のパッチテンプレートの編集
パッチテンプレートを編集して、パッチテンプレートの名前または説明を更新したり、次のパッチ適用サイクルの新しい日付を設定したり、システムを追加または削除したりできます。
前提条件
- パッチテンプレートがすでに作成済みである。
- Red Hat Hybrid Cloud Console に組織管理者としてログインしている。
手順
- 左側のメニューを使用して、Content > Patch > Templates に移動します。利用可能なパッチテンプレートの一覧が表示されます。
- 編集するパッチテンプレートを見つけます。
- テンプレートを含む行の右端にあるメニューボタンをクリックします。ポップアップメニューが表示されます。
- Edit template を選択します。Edit template ウィザードが開き、Edit content template ページが表示されます。
- オプション: パッチテンプレートの日付を編集します。Next をクリックします。Edit template details ページが表示されます。
- オプション: テンプレートの名前と説明を編集します。Next をクリックします。Apply to systems ページが表示されます。
- テンプレートに割り当てられたシステムを追加または削除してから、Next をクリックします。Review ページが表示されます。
- 更新されたテンプレート情報を確認します。確認が終了したら、Submit をクリックします。
パッチテンプレートの日付を編集したり、割り当てられたシステムをテンプレートに追加または削除した場合に、システムはインストール可能なアドバイザリーのリストを数分以内に更新します。更新時間は、インストール内のシステムの数によって異なります。
2.4. パッチテンプレートへのシステムの追加または削除
パッチテンプレートにシステムを追加したり、テンプレートからシステムを削除したりするには、Edit template ウィザードを使用します。
前提条件
- パッチテンプレートがすでに作成済みである。
- Red Hat Hybrid Cloud Console に組織管理者としてログインしている。
手順
- 左側のメニューを使用して、Content > Patch > Templates に移動します。利用可能なパッチテンプレートの一覧が表示されます。
- 編集するパッチテンプレートを見つけます。
- テンプレートを含む行の右端にあるメニューボタンをクリックします。ポップアップメニューが表示されます。
- Edit template を選択します。Edit template ウィザードが開き、Edit content template ページが表示されます。
- オプション: パッチテンプレートの日付を編集します。
- Next をクリックします。Edit template details ページが表示されます。
- オプション: テンプレートの名前と説明を編集します。
- Next をクリックします。Apply to systems ページが表示されます。
- テンプレートに割り当てられたシステムを追加または削除してから、Next をクリックします。Review ページが表示されます。
- 更新されたテンプレート情報を確認します。確認が終了したら、Submit をクリックします。
システムは、数分以内にインストール可能なアドバイザリーの一覧を更新します。更新時間は、インストール内のシステムの数によって異なります。
2.5. 選択したシステムへの既存のパッチテンプレートの適用
リストから選択した個々のシステムに既存のパッチテンプレートを適用できます。
前提条件
- パッチテンプレートがすでに作成済みである。
- Red Hat Hybrid Cloud Console に組織管理者としてログインしている。
手順
- 左側のメニューを使用して、Content > Patch > Systems に移動します。利用可能なシステムのリストが表示されます。
- パッチテンプレートを適用するシステムを選択します。
- Remediate ボタンと Export アイコンの横にあるその他のオプションメニューをクリックします。
- Assign to a template を選択します。Apply template ダイアログボックスが表示されます。
- Select an existing template をクリックし、ドロップダウンリストからテンプレートを選択します。
- Apply template をクリックして、選択したシステムにテンプレートを適用します。
選択したシステムが数分以内に更新されます。更新時間は、インストール内のシステムの数によって異なります。
2.6. パッチテンプレートの削除
1 つ以上のシステムを別のパッチテンプレートに割り当てる場合や、作成日が現在のパッチテンプレートの範囲外にあるパッチと更新をシステムが受信できるようにする場合は、パッチテンプレートを削除することができます。
前提条件
- パッチテンプレートがすでに作成済みである。
- テンプレートにシステムが割り当てられている。
- Red Hat Hybrid Cloud Console に組織管理者としてログインしている。
手順
- 左側のメニューを使用して、Content > Patch > Templates に移動します。利用可能なパッチテンプレートの一覧が表示されます。
- 削除するパッチテンプレートを見つけます。
- テンプレートを含む行の右端にあるメニューボタンをクリックします。ポップアップメニューが表示されます。
- Remove patch template を選択します。
テンプレートを削除した後に数分後に、システムはインストール可能なアドバイザリーのリストを更新します。更新時間は、インストール内のシステムの数によって異なります。
2.7. 選択したシステムへの新しいパッチテンプレートの適用
リストから個々のシステムを選択した後、選択したシステムに適用する新しいパッチテンプレートを作成できます。
前提条件
- パッチテンプレートがすでに作成済みである。
- Red Hat Hybrid Cloud Console に組織管理者としてログインしている。
手順
- 左側のメニューを使用して、Content > Patch > Systems に移動します。利用可能なシステムのリストが表示されます。
- 新しいパッチテンプレートを作成するシステムを選択します。
- Remediate ボタンと Export アイコンの横にあるその他のオプション (3 つの点) メニューをクリックします。
- Assign to a template を選択します。Apply template ダイアログボックスが表示されます。
- Create ボタンをクリックします。Create content template ウィザードが開き、Define template content ページが表示されます。
- 日付アイコンをクリックします。その日までに公開されたすべてのインストール可能なアドバイザリーを適用する日付を選択し、Next をクリックします。Details ページが表示されます。
- Name フィールドにテンプレートの一意の名前を入力します。
- オプション: Description フィールドにテンプレートの説明を追加します。
Next をクリックします。Apply to systems ページが表示され、選択したシステムのリストが表示されます。
注記システムにすでにパッチテンプレートが割り当てられている場合は、新しいパッチテンプレートが以前のテンプレートをオーバーライドします。
- Next をクリックします。Review ページが表示されます。
- テンプレート情報を確認します。確認が終了したら、Submit をクリックします。
選択したシステムが数分以内に更新されます。更新時間は、インストール内のシステムの数によって異なります。
2.8. 選択したシステムからのパッチテンプレートの削除
リストからシステムを選択し、適用されたパッチテンプレートをそれらのシステムから削除できます。システムからテンプレートを削除しても、テンプレートは削除されません。
前提条件
- パッチテンプレートがすでに作成済みである。
- パッチテンプレートがインストール内のシステムに適用されている。
- Red Hat Hybrid Cloud Console に組織管理者としてログインしている。
手順
- 左側のメニューを使用して、Content > Patch > Systems に移動します。利用可能なシステムのリストが表示されます。リストの Template 列に、パッチテンプレートを適用したシステムとテンプレートの名前が表示されます。
- 新しいパッチテンプレートを作成するシステムを選択します。
- Remediate ボタンと Export アイコンの横にあるその他のオプション (3 つの点) メニューをクリックします。
- Remove from a template を選択します。Remove systems from a patch template ダイアログボックスが表示されます。
- Remove ボタンをクリックします。成功メッセージが表示されます。
選択したシステムの Template 列に No template というステータスが表示されます。更新時間は、インストール内のシステムの数によって異なります。
Red Hat ドキュメントへのフィードバック (英語のみ)
Red Hat ドキュメントに関するフィードバックをお寄せください。いただいたご要望に迅速に対応できるよう、できるだけ詳細にご記入ください。
前提条件
- Red Hat カスタマーポータルにログインしている。
手順
フィードバックを送信するには、以下の手順を実施します。
- Create Issue にアクセスします。
- Summary テキストボックスに、問題または機能拡張に関する説明を入力します。
- Description テキストボックスに、問題または機能拡張のご要望に関する詳細を入力します。
- Reporter テキストボックスに、お客様のお名前を入力します。
- Create ボタンをクリックします。
これによりドキュメントに関するチケットが作成され、適切なドキュメントチームに転送されます。フィードバックをご提供いただきありがとうございました。