Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

使用 FedRAMP 在 RHEL 系统上评估和监控安全漏洞

Red Hat Insights 1-latest

了解您的环境以Potential Security Threats

Red Hat Customer Content Services

摘要

将漏洞服务与 FedRAMP® 搭配使用,评估和监控 RHEL 系统上安全漏洞的状态,了解基础架构的风险,并规划一系列行动。
红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 信息

第 1 章 Insights for RHEL 漏洞服务概述
复制链接

漏洞服务可以快速评估和全面监控 RHEL 基础架构对常见漏洞和风险(CVE)的公开,以便您更好地了解您的最关键问题和系统,并有效地管理补救。

通过上传到漏洞服务的数据,您可以过滤和排序系统和 CVE 组,以优化和优化您的视图。当上下文给系统造成额外的风险时,您还可以向单个 CVE 添加上下文。了解风险风险后,将 CVE 的状态报告给适当的利益相关者,然后创建 Ansible Playbook 来修复问题,以保护您的组织的安全。

先决条件

漏洞服务适用于所有支持的 RHEL 6、7、8 和 9 版本。在使用漏洞服务前必须满足以下条件:

  • 每个系统都安装了 Insights 客户端,并注册到 Insights for Red Hat Enterprise Linux 应用程序。按照 Red Hat Insights 入门使用 FedRAMP 指南来安装客户端并注册您的系统。
  • 由 Red Hat Subscription Management (RHSM)和 Satellite 6 及之后的版本管理的 RHEL 系统完全支持这个漏洞服务。使用任何其他方法获取软件包更新,除带有 RHSM 的 RHSM 或使用 subscription.redhat.com (客户门户网站)注册的 RHSM 之外,可能会导致误导结果。
  • 漏洞服务补救并不被完全支持,且可能无法在 Satellite 5 和 Spacewalk 的 RHEL 系统中正常工作。
  • 有些功能需要您的机构管理员提供的特殊权限。具体来说,查看与特定 CVE 和系统关联的红帽安全公告(RHSA),以及查看和修补 Red Hat Insights for Red Hat Enterprise Linux 补丁服务中的漏洞,需要通过用户访问授予权限。

其他资源

1.1. 漏洞服务如何工作
复制链接

漏洞服务使用 Insights 客户端收集有关 RHEL 系统的信息。客户端收集有关系统的信息,并将其上传到漏洞服务。

然后,漏洞服务会根据 Red Hat CVE 数据库和安全通知评估数据,以确定是否存在任何有影响系统的未完成的 CVE,并提供这些比较的结果。

分析数据后,您可以查看和排序显示的结果,评估漏洞的风险和优先级,报告其状态,并创建并部署 Ansible Playbook 以修复它们。漏洞服务的目标是启用防止 RHEL 基础架构中安全弱点的可重复流程。

1.2. Red Hat Hybrid Cloud 控制台中的用户访问设置
复制链接

用户访问是红帽实施基于角色的访问控制(RBAC)。机构管理员使用 User Access 来配置用户在 Red Hat Hybrid Cloud Console (控制台)上可以看到和执行的操作:

  • 通过组织角色而不是单独为用户分配权限来控制用户访问权限。
  • 创建包含角色及其对应权限的组。
  • 将用户分配给这些组,以便用户继承与其组角色关联的权限。

您的帐户中的所有用户都可以访问 Insights for Red Hat Enterprise Linux 中的大多数数据。

1.2.1. 预定义的用户访问组和角色
复制链接

为了便于管理组和角色,红帽提供了两个预定义的组和一组预定义的角色:

  • 预定义的组

    Default access 组包含 您机构中的所有用户。很多预定义角色被分配给此组。红帽会自动更新。

    注意

    如果机构管理员对 Default access 组进行了更改,则其名称会更改为 Custom default access 组,且不再由红帽更新。

    Default admin access 组仅包含具有机构管理员权限的用户。这个组会自动维护,且无法更改此组中的用户和角色。

    在 Hybrid Cloud Console 中,导航到 Red Hat Hybrid Cloud Console > Settings 图标(wagon)> Identity & Access Management > User Access > Groups 来查看您的帐户中的当前组。此视图仅限于机构管理员。

  • 分配给组的预定义角色

    Default access 组包含许多预定义的角色。由于您机构中的所有用户都是 Default access 组的成员,因此它们会继承分配给该组的所有权限。

    Default admin access 组包括许多(但不包括所有)提供更新和删除权限的预定义角色。此组中的角色通常会将 管理员 包含在其名称中。

    在 Hybrid Cloud Console 中,导航到 Red Hat Hybrid Cloud Console > Settings 图标(wagon)> Identity & Access Management > User Access > Roles 以查看您的帐户中的当前角色。您可以查看每个角色分配到的组数量。此视图仅限于机构管理员。

1.2.2. 访问权限
复制链接

预定义角色提供您必须具有的权限的每个流程列表 的先决条件。作为用户,您可以进入 Red Hat Hybrid Cloud Console > Settings 图标(wagon)> My User Access 来查看当前继承的角色和应用程序权限。

如果您尝试访问 Insights for Red Hat Enterprise Linux 功能,并查看您没有执行此操作的消息,则必须获得额外的权限。您的机构的机构管理员或 User Access 管理员配置这些权限。

其他资源

有关用户访问和权限的更多信息,请参阅使用 FedRAMP 的基于角色的访问控制(RBAC)的用户访问配置指南

1.2.3. vulnerability-service 用户的用户访问角色
复制链接

以下角色启用了标准或增强的对 Red Hat Enterprise Linux 的 Insights 中漏洞服务功能的访问:

  • 漏洞查看器.阅读任何安全漏洞服务资源。
  • 漏洞管理员.对任何 vulnerability-service 资源执行任何可用的操作。

第 2 章 常见漏洞披露(CVE)
复制链接

常见的漏洞和风险(CVE)是公开发布的软件包中识别的安全漏洞。CVE 由国家 Cybersecurity FFRDC (NCF)识别并列出,该机构由 Mitre 公司在美国美国国家网络安全部的国家网络安全部门提供资助。CVE 的完整列表可从 https://cve.mitre.org 获得。

通过突出显示与 CVE 相关的公开已知利用和安全规则的 CVE,漏洞服务会智能改进威胁,以帮助确定哪个 CVE 对 RHEL 环境造成最大的潜在风险,从而使用户能够首先确定并解决其最关键问题。

重要

漏洞服务不包含 https://cve.mitre.org 条目列表中的每个 CVE。只有 Red Hat CVE (由红帽发布安全公告(RHSA)的 CVE 包含在漏洞服务中。

此漏洞服务识别影响 RHEL 系统的 CVE,指示其严重性,并可让您有效地降低对解决最重要的风险。仪表板栏将提醒您到以下类型的 CVE:

  • 已知的漏洞利用
  • 安全规则
  • Critical 严重性
  • 重要严重性

screenshot of the Vulnerability CVE dashbar

2.1. 红帽安全公告(RHSA)
复制链接

红帽安全公告(RHSA)勘误记录有补救或缓解措施的红帽产品中的安全漏洞。Red Hat Insights for Red Hat Enterprise Linux 漏洞服务显示与向 CVE 公开的每个系统关联的公告标识符。

选择 CVE 并在安全规则卡中选择 Filter by affected systems 链接来查看此信息。如果系统存在公告,则 RHSA ID 会在 Exposed systems 列表中的的 Advisory 列的系统旁会显示一个链接。如果没有这样的公告,公告列不可见,或者将显示 "Not available"。

当系统存在公告时,用户可以查看有关 RHSA 的更多信息,包括受影响的系统列表。在补丁服务中,用户可以选择系统来创建 Ansible Playbook 以应用修复。 Three systems in the Patch service affected by a Red Hat Security Advisory selected so that an Ansible Playbook can be applied

2.2. 安全规则
复制链接

安全规则为 CVE 给出了额外的可见性,因为存在升级的风险并暴露了与其关联的风险。这些是可能会接收大量介质覆盖的安全漏洞,由红帽产品安全团队使用产品安全 事件响应计划 工作流来帮助您确定您的 RHEL 环境公开。通过这些安全规则,您可以采取适当的措施来保护您的机构。

安全规则提供深度威胁智能,除了分析系统上运行的 RHEL 版本之外。通过手动策展安全规则,通过分析 Insights 客户端收集的系统元数据来确定您是否容易受到安全威胁。如果漏洞服务将系统识别为安全规则,则可能会提高安全风险和问题。

重要

在公开系统上解决安全规则应该是您的最高优先级。

最后,并非所有向 CVE 公开的系统也公开给与该 CVE 关联的安全规则。虽然您可能正在运行存在安全漏洞的软件版本,但其他环境条件可能会缓解威胁;例如,一个特定的端口已关闭,或者正在运行 SELinux。

2.2.1. 在 Insights for RHEL 仪表板中识别安全规则
复制链接

使用以下步骤查看您的基础架构对安全规则的影响。

流程

  1. 导航到 Red Hat Insights for Red Hat Enterprise Linux 仪表板

    注意

    为了简单起见,以下屏幕截图中最小化与安全漏洞评估相关的服务的面板:

    : Red Hat Insights Vulnerability dashboard showing CVEs with security rules and known exploits

  2. 查看您的系统面板中的最新的关键通知。这些是带有"Important"或"关键"的升级严重性评级的安全规则。这些问题可能是您最重要的问题,应优先选择进行补救。

    1. 在每个通知的右侧,点 Expand 按钮来查看相关的 CVE 以及您基础架构中公开的系统数量。

      注意

      您可能会在关键通知中看到安全规则,但有零个系统公开。在这种情况下,即使您基础架构中存在 CVE,安全规则条件可能不存在。

    2. 在安全规则的名称下,在关联 CVE 下点 CVE 链接。
    3. 查看哪些系统会受到安全规则 CVE 的影响,并选择性地选择公开的系统来创建 playbook。

  3. 接下来,查看 漏洞 卡中的信息。

    1. 请注意“CVEs with security rules impacting systems.”的数。这个数字包括至少影响一个系统的任何严重性的安全规则。

      1. 单击 View CVEs。请根据高严重性的安全规则,考虑您第二个优先考虑安全性规则的更强的严重性。

2.3. 已知的漏洞利用
复制链接

红帽分析了 Cybersecurity and Infrastructure Security Agency (CISA)数据,以确定代码是否公开利用 CVE,或 CVE 已公开利用。此漏洞服务将"已知漏洞"标签应用到符合该标准的 CVE。

这种增强的威胁评估可帮助用户识别和解决那些先造成重要风险的 CVE。红帽建议用户查看具有高优先级的"已知漏洞"标签的 CVE,并努力修复这些问题。

重要

通过这个漏洞的服务,您可以了解到基础架构中的系统中存在已知的漏洞利用 CVE。"已知的漏洞"标签并不意味着漏洞已在您的 RHEL 系统中利用;漏洞服务不会确定这一点。

漏洞服务为您提供了有关各个常见漏洞和暴露(CVE)的数据,以及它们对注册到 Insights 的系统的影响。CVE 被归类为 存在安全漏洞 或影响 ,但不受到攻击。此级别的安全威胁智能功能适用于具有 Security Rule 标签或已通过红帽产品安全团队严格分析的 CVE。

这种增加的威胁智能允许您分解问题并首先解决最紧急的问题。在管理大量服务器时,这会转化为加快的保护和显著的效率。

受影响的但不受这个安全漏洞的 CVE 状态表示,您正在运行存在安全漏洞 但当前没有被利用的软件。此系统需要补救,但不需要立即关注。

一个 存在安全漏洞的 CVE 状态表示带有公开路径利用的漏洞代码。开放路径可以是允许其中之一的操作系统版本:机密信息被泄漏,系统的完整性会被破坏或可用性。

让我们查看 存在安全漏洞的 服务器与 受影响的服务器,但不受到攻击的服务器 的示例:

假设 服务器 A 正在运行有漏洞的软件,允许 root 用户访问系统。服务器 A 将被视为存在安全漏洞,需要立即修补。

相反,假设 Server B 的当前配置会阻止漏洞进行清单,即使受影响的代码中存在也是如此。服务器 B 将被视为 受影响的,但不被视为存在安全漏洞。这意味着,服务器 B 可以重新指向 to-do 列表,因此可以修复更直接的威胁,从而修复 服务器 A

重要

一旦服务器 A 被解决,您应该补丁 Server B,因为它正在运行可能存在安全漏洞的代码。版本更新以及其他事件可能会导致它在以后存在安全漏洞。

使用以下步骤在 Insights for Red Hat Enterprise Linux 仪表板漏洞卡中识别已知的安全漏洞 CVE。

流程

  1. 导航到 Red Hat Insights for Red Hat Enterprise Linux 仪表板

    注意

    为了简单起见,以下屏幕截图中最小化与安全漏洞评估相关的服务的面板:

    Red Hat Insights Vulnerability dashboard shows CVEs with both security rules and known exploits

  2. 漏洞 卡中,请注意 已知漏洞利用的 CVE 影响 1 个或更多系统,以及显示的编号
  3. 单击 View Known exploits
  4. 查看 CVE 列表中过滤的 Known-exploit CVE 列表。

第 3 章 重新定义 vulnerability-service 结果
复制链接

无论对利益相关者或系统进行补救的报告结果,该漏洞服务都允许多种方式优化数据的视图,并帮助您和其他人员专注于最重要的系统、工作负载或问题。以下小节描述了您的数据的组织,以及可用于优化和增强结果的排序、过滤和上下文功能。

3.1. CVE-list 和 system-list 过滤器
复制链接

过滤会缩小 CVE 和相关系统的可见列表,可帮助您专注于特定问题。将过滤器应用到 CVE 列表,以专注于按严重性或业务风险的 CVE,例如:选择单独的 CVE 后,将过滤器应用到生成的受影响系统列表,以专注于特定 RHEL 主版本或次版本的那些,例如:

通过从左侧的过滤器下拉列表中选择一个主过滤器来激活过滤器,然后从右侧的过滤器选项下拉列表中选择二级子过滤器。所选过滤器在 Filters 菜单下可见,可通过单击每个过滤器旁边的 X 来取消激活。

CVEs 列表过滤器

Shows several filter options in the filter dropdown

CVE 页面可以访问以下主要过滤器:选择主过滤器,然后在 subfilter 中定义参数:

  • CVE.搜索 ID 或描述。
  • 安全规则。仅显示带有 "Security rule" 标签的 CVE。
  • 已知漏洞利用。仅显示带有"已知漏洞"标签的 CVE。
  • 严重性。选择一个或多个值:Critical, Important, Moderate, Low, 或 Unknown。
  • CVSS 基本得分.选择一个或多个范围:All, 0.0-3.9, 4.0-7.9, 8.0-10.0, N/A (不适用)
  • 业务风险。选择一个或多个值: High、Medium、Low、Not defined。
  • Systems exposed .选择只显示当前受影响的系统的 CVE,或者没有受影响的系统。
  • 发布日期.从 All, Last 7 days, Last 30 days, Last 90 days, Last year, or more than 1 year ago 中选择。
  • 状态.选择一个或多个值:Not reviewed, In review, On-hold, Scheduled for patch, Resolved, No action - risk accepted, Resolved via mitigationed。

系统列表过滤器

Primary filters on the CVE details page

以下主要过滤器可从 CVE 详情页面的系统列表的顶部访问:

  • 名称。通过输入 CVE ID 来查找特定的 CVE。
  • 安全规则。如果 CVE 关联了一条安全规则,则根据其他系统过滤易受同一安全规则的影响,或者显示不受安全规则影响的系统。
  • 状态.显示特定状态或工作流类别中的系统。
  • 公告.显示红帽公告针对此 CVE 适用的系统。
  • 操作系统。显示运行特定 RHEL (次)版本的系统。
  • 补救。显示 Ansible Playbook 中包含的系统、手动修复或未包含在当前修复计划中的系统。

3.1.1. 过滤安全规则 CVE
复制链接

安全规则(特别是高度严重性安全规则)给您的基础架构造成最大的潜在威胁,并应被视为识别和修复的最高优先级。使用以下步骤只查看 CVE 列表中的高严重性安全规则 CVE,并确定受影响的系统。

注意

并非所有向 CVE 公开的系统也公开给与该 CVE 关联的安全规则。虽然您可能正在运行存在安全漏洞的软件版本,但其他环境条件可能会缓解威胁;例如,特定端口已关闭或启用了 SELinux。

流程

  1. 进入 Red Hat Insights for Red Hat Enterprise Linux 中的 Security > Vulnerability > CVEs。

  2. 单击工具栏中的过滤器下拉列表。

    1. 应用 Security rules 过滤器。
    2. 应用 Has 安全规则 子过滤器。
  3. 向下滚动以查看安全规则 CVE。具有安全规则的 CVE 会立即显示在 CVE ID 下。

3.1.2. 使用 RHEL 系统上的安全规则修复漏洞
复制链接

安全规则的 CVE 是由红帽优先考虑的 CVE,因为它们专注于将风险提升到您的系统的问题。修复这些问题有助于支持对组织而言最重要的问题进行优先处理。使用漏洞服务和补救服务,您可以通过以下方法确定和修复一些最重要的威胁:

3.1.3. 过滤已知的 CVE
复制链接

具有 "Known exploit" 标签的 CVE 由红帽确定存在安全漏洞。这些漏洞可以公开利用这个 CVE,或利用这个漏洞被公开利用这个 CVE。因此,应该优先考虑已知漏洞的 CVE 来进行识别和补救。

重要

红帽不确定您注册的任何系统是否已被利用。我们只是识别可能造成特殊风险的 CVE。

使用以下步骤过滤 CVE 列表中已知的漏洞 CVE:

流程

  1. 进入 Red Hat Insights for Red Hat Enterprise Linux 中的 Security > Vulnerability > CVEs。

  2. 点工具栏中的过滤器下拉列表。

    1. 应用 Known exploit 过滤。
    2. 应用 Has a known exploit 子过滤。
  3. 向下滚动以查看已知的可被利用的 CVE 列表。

3.1.4. 在没有相关公告的情况下过滤 CVE
复制链接

某些 CVE 没有关联的公告,也称为 勘误。这可能会因为以下原因发生:

  • CVE 没有可用的修复
  • 产品安全分析决定了 CVE 会影响您的环境,但没有针对您的环境可用的勘误(尽管其他环境中有相同的 CVE 有勘误)
  • 您的系统不再受到支持
重要

CVE 信息目前可用于 RHEL 6、7、8 和 9。RHEL 5 系统不提供任何信息。

通过没有公告的 CVE,您可以采取措施保护您的机构出现与这些漏洞关联的风险,以便您可以采取必要的步骤来解决问题。

如果您的 RHEL 版本没有可用的修复,且被列为 "Will not fix",请考虑以下条件:

  • 漏洞的影响(严重性)
  • RHEL 版本的生命周期阶段

如果您决定在没有相关公告的情况下的 CVE 需要相应的修复,可以使用以下选项:

  • 接受风险
  • 升级至受支持的产品版本,其中包括针对此漏洞的修复(如果可用)
  • 应用一个缓解方案(如果存在)

其他资源

有关 CVE 的更多信息,请参阅 常见漏洞和风险

有关漏洞严重性评级的更多信息,请参阅了解严重性评级

有关产品生命周期的更多信息,请参阅 生命周期和更新策略

要在客户门户网站中创建支持问题单,请参阅 客户支持

3.1.4.1. 启用没有公告的 CVE
复制链接

在没有公告的情况下启用 CVE 可让您在没有 Insights 中公告的情况下访问受 CVE 影响的系统。

这个功能会被默认启用,但没有公告的 CVE 在主视图中默认是隐藏的。这意味着,您必须使用过滤器在没有公告的情况下显示和查看 CVE。

注意

红帽的策略要求 Insights for Red Hat Enterprise Linux 显示所有高优先级、关键和重要 CVE,无论这些 CVE 是否有相关公告。

先决条件

  • 在 Red Hat Insights 中访问您的环境的漏洞管理员

流程

  1. 在 Red Hat Insights for RHEL 仪表板中进入 Security > Vulnerability > CVEs
  2. 点击 More options 图标(3.3.0),然后选择 Show CVEs without Advisories。公告列表包括没有公告的 CVE。
3.1.4.2. 禁用没有公告的 CVE
复制链接

要禁用没有公告功能的 CVE,请取消选择 Show CVEs without Advisories 选项。

没有公告选项的 CVE 会默认启用,但默认视图会在没有公告的情况下隐藏 CVE。

注意

红帽的策略要求 Insights for Red Hat Enterprise Linux 显示所有高优先级、关键和重要 CVE,无论这些 CVE 是否有相关公告。

先决条件

  • 在 Red Hat Insights 中访问您的环境的漏洞管理员
  • 公告列表包括没有公告的 CVE

流程

  1. 在 Red Hat Insights for RHEL 仪表板中进入 Security > Vulnerability > CVEs
  2. 点击 More options 图标(3.3.0),然后在 没有公告的情况下选择 Hide CVEs
3.1.4.3. 查看没有公告的 CVE
复制链接

没有公告选项的 Show CVE 会启用或禁用没有公告的 CVE。要查看没有公告的 CVE,必须启用不带公告选项的 Show CVE。

先决条件

  • 机构管理员启用了没有公告选项的 CVE。

流程

  1. 在 Red Hat Insights for RHEL 仪表板中进入 Security > Vulnerability > CVEs
  2. 从过滤器下拉列表中选择 Advisory
  3. Filter by Advisory 下拉菜单中选择 Not Available。公告列表显示所有没有公告的 CVE。
3.1.4.4. 识别受 CVE 影响的系统,没有公告
复制链接

CVE 详情页面显示受所选 CVE 影响的所有系统的列表。您可以过滤系统列表,以显示受这个公告不存在的 CVE 影响的系统。

先决条件

  • 机构管理员启用了没有公告选项的 CVE。

流程

  1. 识别一个没有公告的 CVE,以便查看其影响的系统。有关在没有公告的情况下识别 CVE 的更多信息,请参阅在没有公告的情况下识别带有 CVE 的系统。

  2. 选择标识的 CVE 进入 CVE 详情页面。此时会显示该 CVE 的 CVE 详情页面。页面中列出受该 CVE 影响的所有系统。

    1. 如果您在选择 CVE 时应用 Filter by Advisory 过滤器和 Not Available 选项,则这些过滤器会保留在 CVE 详情页面中。
    2. 否则,当您导航到 CVE 详情页面时,从页面顶部的过滤器中选择 Advisory,然后选择 Filter by Advisory,然后单击 Not Available 复选框。系统更新列表,只显示受该 CVE 影响的系统,而无需公告。公告 列对于列表中的每个系统显示 Not Available
  3. 可选: 要查看系统详情,请选择您要查看的系统名称。系统的详细信息页面显示。
3.1.4.5. 在系统详情中查看没有公告的 CVE
复制链接

系统详情页面会显示影响所选系统的所有 CVE 列表。您可以过滤 CVE 列表来显示没有公告的 CVE。

先决条件

  • 机构管理员启用了没有公告选项的 CVE。

流程

  1. 在 Red Hat Insights for RHEL 仪表板中进入 Security > Vulnerability > Systems。显示 Vulnerability 系统页面。
  2. 从列表中选择系统 ID。显示该系统的系统详情页面。页面中列出了影响所选系统的所有 CVE。
  3. 从页面顶部的过滤器中选择 Advisory
  4. 选择 Filter by Advisory,然后选择 Not Available 复选框。CVE 更新列表仅显示没有公告的 CVE。公告列显示在列表中每个 CVE 的 Not Available
  5. 可选: 要查看 CVE 的详情,请选择您要查看的 CVE 的 CVE ID。此时会显示 CVE 的详细信息页面。

3.2. 过滤公开给安全规则的系统列表
复制链接

在过滤了 CVE 列表以只查看您最关键的潜在威胁后,选择单独的 CVE 来查看公开的系统列表,并将过滤器应用到列表。

流程

  1. 选择安全规则 CVE 后,向下滚动到 Exposed systems 列表。并非所有列表中的每个系统都有 CVE 的安全规则条件。应用以下过滤器,以仅查看具有安全规则条件的系统。
  2. 从主过滤器下拉列表中,选择 Security rules 过滤器。
  3. 选中次要 subfilter 下拉列表中的 Has 安全规则 框。
  4. 查看暴露了 CVE 的系统,这些 CVE 也存在安全规则的条件。

3.3. Insights for RHEL 组过滤器
复制链接

根据系统或工作负载组过滤漏洞服务结果的功能,用户只能查看标记为属于特定组的系统。这些可以是按 Satellite 主机组运行 SAP 工作负载(或 SAP ID)的系统,也可以是添加到 Insights 客户端配置文件中的自定义标签。

组过滤可以在 Insights for Red Hat Enterprise Linux 应用程序中使用的 Filter 结果 框在 Insights for Red Hat Enterprise Linux 中全局设置。当从服务更改为服务,并将页面更改为 page 时,组选择会保留。但是,这个功能因 Red Hat Enterprise Linux 服务的不同 Insights 不同。

组过滤在漏洞仪表板和漏洞服务 CVE 和系统列表中工作。

在本文档的 Tags 和 system groups 部分中,了解更多有关组标签和配置自定义标签的信息。

3.3.1. 按组过滤仪表板、CVE 和系统列表
复制链接

使用以下步骤根据组过滤漏洞服务 CVE 和系统列表。

流程

  1. 导航到 Red Hat Hybrid Cloud Console 并登录。
  2. 打开 Red Hat Insights for Red Hat Enterprise Linux 应用程序。
  3. 单击 Insights 应用程序上任何页面顶部的 Filter 结果 框中的向下箭头。

  4. 选择要过滤您的系统的组。

    搜索或滚动以查看可用的标签。要浏览可用标签的完整列表,请滚动到列表的底部,然后单击 查看更多

    (可选)

    1. 选择 SAP 工作负载。
    2. 按特定 SAP ID 选择系统。
    3. 选择 Satellite 主机集合。

    4. 选择由自定义组标签标识的系统。

      要了解更多有关创建自定义标签的信息,请参阅本文档中的 自定义系统标记 部分。

  5. 进入该服务,只查看属于您选择的组或组的系统或 CVE。

3.4. 为 CVE 定义业务风险
复制链接

通过这个漏洞服务,您可以使用以下选项定义 CVE 的业务风险: High、Medium、Low 或 Not Defined (默认)。

虽然 CVE 列表显示每个 CVE 的严重性,但分配一个业务风险可让您根据机构可能对 CVE 的影响进行排名。这样,您可以更好地控制管理大型环境中的风险,并使您能够做出更好的操作决策。

默认情况下,特定 CVE 的业务风险字段被设置为 Not Defined。设置业务风险后,会在 CVE 行的 Security > Vulnerability > CVEs 列表中可见。

CVE with a Medium business

对于每个 CVE 的详细信息卡,业务风险也可见,这显示了更多相关信息并列出受影响的系统。

Details card in the vulnerability service that shows a CVE showing a Medium business risk

3.4.1. 为单个 CVE 设置业务风险
复制链接

完成以下步骤,为单个 CVE 设置业务风险:

注意

该 CVE 影响到其 影响的所有 系统上的业务风险都相同。

  1. 进入 Security > Vulnerability > CVEs 页面,并在需要时登录。
  2. 识别设定业务风险的 CVE。

  3. 单击 CVE 行右侧的 more-actions 图标(三个垂直点),然后单击 Edit business risk

    Shows two CVEs with the option to Edit business risk highlighted on the CVE page

  4. 将业务风险值设置为适当的级别,并可以选择为您的风险评估添加合理性。
  5. 点击 Save

3.4.2. 为多个 CVE 设置业务风险
复制链接

完成以下步骤,对您选择的多个 CVE 设置相同的业务风险:

  1. 进入 Security > Vulnerability > CVEs,并在需要时登录。
  2. 选中您要为其设置业务风险的 CVE 框。

  3. 执行以下步骤设定业务风险:

    1. 单击工具栏中过滤器下拉菜单右侧的 more-actions 图标(三个垂直点),然后单击 Edit business risk
    2. 设置适当的商业风险值,并选择性地为您的风险评估添加证实。
    3. 点击 Save

3.5. 从漏洞服务分析中排除系统
复制链接

通过这个漏洞服务,您可以排除特定的系统漏洞分析。这可节省时间,并在与您的组织目标无关的系统中查看和重新审阅问题。

例如,如果您有以下服务器类别:QA、Dev 和 Production,您可能不小心检查 QA 服务器的漏洞,因此要从漏洞服务执行的分析中排除这些系统。

当系统排除漏洞分析时,Insights 客户端仍然会在系统中按调度运行,但系统的结果在漏洞服务中不可见。客户端的持续操作可确保 Red Hat Enterprise Linux 服务的其他 Red Hat Insights 仍然可以上传所需的数据。这也意味着您仍可使用过滤查看这些系统的结果。

完成以下步骤,将所选 RHEL 系统排除在漏洞服务分析中:

流程

  1. 进入到 Security > Vulnerability > Systems 选项卡,并在需要时登录。
  2. 选中您要从漏洞分析中排除的每个系统的框。

  3. 单击系统列表顶部的工具栏中的 more-actions 图标,然后选择 Exclude systems from vulnerability analysis

    Vulnerability service showing three systems on the systems page that are selected to be excluded from a vulnerability analysis

  4. 另外,您可以通过点系统行中的 more-actions 图标并选择 Exclude system from vulnerability analysis 来排除一个特定系统。

    Vulnerability service showing one system on the systems page that can be selected to be excluded from a vulnerability analysis

3.6. 显示之前排除的系统
复制链接

完成以下步骤以显示之前排除的系统:

流程

  1. 进入到 Security > Vulnerability > Systems 选项卡,并在需要时登录。
  2. 单击系统列表顶部的工具栏中的 more-actions 图标,然后选择 Show systems excluded from analysis
  3. 请参阅 漏洞分析中排除的系统。这可以通过 Applicable CVEs 列中 Excluded 的值来验证。

3.7. 为系统恢复漏洞分析
复制链接

完成以下步骤以恢复系统的漏洞分析:

流程

  1. 进入到 Security > Vulnerability > Systems 选项卡,并在需要时登录。
  2. 单击系统列表顶部的工具栏中的 more-actions 图标,然后选择 Show systems excluded from analysis
  3. 在结果列表中,选中您要恢复漏洞分析的每个系统的框。
  4. 再次点 more-actions 图标,选择 Resume analysis for system

3.8. CVE 状态
复制链接

管理影响您系统的 CVE 的另一种方法是通过为 CVE 设置状态。此漏洞服务通过以下方式为 CVE 设置状态:

  • 所有系统的一个 CVE 设置一个状态。
  • 为特定 CVE + 系统对 设置状态。

状态值是 preset,并包含以下选项:

  • 未审核(默认)
  • in-review
  • on-hold
  • 为补丁调度
  • 已解决
  • 无操作 - 风险接受
  • 通过缓解方案解决

为 CVE 设置状态有助于更好地利用生命周期,从了解它以修复它。通过定义状态,您的组织可以更好地显示其生命周期最重要的 CVE 的选项卡,您应该集中精力解决您业务所需的最重要的问题。CVE 的状态可在漏洞服务和单独的 CVE 视图中可见。

3.8.1. 在所有受影响系统中为 CVE 设置状态
复制链接

完成以下步骤,为 CVE 设置状态,并在它影响的所有系统中对该 CVE 应用该状态:

流程

  1. 进入到 Security > Vulnerability > CVEs 选项卡,并在需要时登录。
  2. 点 CVE 行右侧的 more-actions 图标,然后选择 Edit status
  3. 选择适当的状态,并可以选择在 Justification 文本框中为您的决定输入一个理由。
  4. 如果 单独系统上有为此 CVE 设置的状态,且您要保留,请选择不要覆盖 单个系统状态。否则,请取消选中该框,将此状态应用到其影响的所有系统。
  5. 点击 Save

3.8.2. 为 CVE 和系统对设置状态
复制链接

完成以下步骤,在 CVE 和系统对中设置状态:

流程

  1. 进入到 Security > Vulnerability > Systems 选项卡,并在需要时登录。
  2. 确定系统并点系统名称打开它。
  3. 从列表中选择一个 CVE,并选中 CVE ID 旁边的框。

  4. 单击工具栏中的 more-options 图标,然后选择 Edit status

    One system selected on the Systems page with the More options icon expanded to show options to Edit status or Expand all CVEs

  5. 在弹出卡中,执行以下操作:

    1. 为 CVE 和系统对设置状态。

      注意

      如果选中 Use overall CVE 状态 的框,则无法为对设置状态。

    2. (可选)为您的状态确定。
    3. 点击 Save
  6. 在列表中找到 CVE,并验证是否设置了状态。

3.9. 使用搜索框
复制链接

漏洞服务中的搜索功能可在您要查看的页面上下文中工作。

  • CVE 页面.搜索框位于 CVE 列表顶部的工具栏中。设置了 CVE 过滤器后,搜索 CVE ID 和描述。

    Example of how you can filter by CVE and then search in the CVE page of the vulnerability service

  • 系统页面.搜索框位于列表顶部的工具栏中。搜索系统名称或 UUID。

    Search box in the Systems page of vulnerability services

3.10. 排序 CVE 列表数据
复制链接

漏洞服务中的排序功能会根据您要查看的页面上下文而有所不同。

流程

  1. CVEs 选项卡中,您可以对以下列应用排序:

    • CVE ID
    • 发布日期
    • 重要性
    • CVSS 基本分数
    • 公开的系统
    • 业务风险
    • 状态

  2. 在系统 选项卡中,可以排序以下列:

    • Name
    • 适用的 CVE
    • 最后看到

  3. 在 Systems 选项卡中选择系统后,特定于系统的 CVE 列表允许以下排序选项:

    • CVE ID
    • 发布日期
    • 影响
    • CVSS 基本分数
    • 业务风险
    • 状态

第 4 章 系统标签和组
复制链接

Red Hat Insights for Red Hat Enterprise Linux 可让管理员使用组标签过滤清单中的系统组以及单个服务。组通过 Red Hat Enterprise Linux 的系统数据方法识别。Insights for Red Hat Enterprise Linux 支持根据那些运行 SAP 工作负载、Satellite 主机组、Microsoft SQL Server 工作负载以及系统管理员定义的自定义标签(具有 root 访问权限在系统中配置 Insights 客户端)过滤系统组。

注意

从 Spring 2022 开始,清单、公告、合规、漏洞、补丁和策略启用根据组和标签进行过滤。其他服务将遵循。

重要

与启用标记的其他服务不同,合规服务会在合规服务 UI 中的系统列表中设置标签。如需更多信息,请参阅 合规性服务中的以下 Group 和 tag 过滤器 部分。

使用 global, Filter 结果 框根据 SAP 工作负载、Satellite 主机组、MS SQL Server 工作负载或添加到 Insights 客户端配置文件的自定义标签进行过滤。

先决条件

对于 Red Hat Enterprise Linux,必须满足以下先决条件和条件,才能使用 Red Hat Insights 中的标记功能:

  • Red Hat Insights 客户端已安装并在每个系统中注册。
  • 您必须具有 root 权限或对应的权限,才能创建自定义标签或更改 /etc/insights-client/tags.yaml 文件。

4.1. 合规服务中的组和标签过滤器
复制链接

合规服务允许用户将标签和组过滤器应用到系统报告合规数据,但它们没有使用 Filter by status 下拉菜单来设置。与 Insights for Red Hat Enterprise Linux 应用程序中的大多数其他服务不同,合规服务仅在以下情况下显示系统的数据:

  • 系统与合规性服务安全策略相关联。
  • 系统使用 insights-client --compliance 命令报告与分析相关的合规性数据。

由于这些条件,合规-service 用户必须使用合规服务 UI 中系统列表的主要和次要过滤器来设置标签和组过滤器。

标签和组过滤合规服务中的上述系统列表

Highlights the primary tags filter and the secondary filter where you can choose which tags to filter

4.2. SAP 工作负载
复制链接

由于 Linux 在 2025 年成为 SAP deployments 工作负载的强制操作系统,Red Hat Enterprise Linux 和 Red Hat Insights for Red Hat Enterprise Linux 致力于使 Insights for Red Hat Enterprise Linux 成为 SAP 管理员选择的管理工具。

作为这一持续工作的一部分,Red Hat Enterprise Linux 的 Insights 会自动标记运行 SAP 工作负载和 SAP ID (SID)的系统,而无需管理员进行任何自定义。用户可以使用全局 Filter by tags 下拉菜单在 Insights for Red Hat Enterprise Linux 应用程序中轻松过滤这些工作负载。

4.3. Satellite 主机组
复制链接

Satellite 主机组在 Satellite 中配置,并由 Insights for Red Hat Enterprise Linux 自动识别。

4.4. Microsoft SQL Server 工作负载
复制链接

使用全局 Filter by tags 功能,Red Hat Insights for Red Hat Enterprise Linux 用户可以选择运行 Microsoft SQL Server 工作负载的系统组。

2019 年 5 月,Red Hat Insights 团队为在 Red Hat Enterprise Linux (RHEL)上运行的 Microsoft SQL Server 引进了一组新的 Insights for Red Hat Enterprise Linux 建议。这些规则向管理员发出没有遵守 Microsoft 和 Red Hat 记录的建议的操作系统级别配置。

这些规则的一个限制是,它们主要分析操作系统,而不是数据库本身。最新版本的 Insights for Red Hat Enterprise Linux 和 RHEL 8.5 引入了 Microsoft SQL assessment API。SQL 评估 API 提供了一种机制来评估 MS SQL Server 的数据库配置以了解最佳实践。API 提供了一个规则集,其中包含 Microsoft SQL Server 团队推荐的最佳实践规则。虽然此规则集通过新版本改进,但 API 构建旨在提供高度可自定义的可扩展解决方案,让用户能够自行调优默认规则并自行创建。

SQL 评估 API 由 Linux 的 PowerShell 支持(可从 Microsoft 使用),Microsoft 开发了可用于调用 API 的 PowerShell 脚本,并将其结果存储为 JSON 格式的文件。在 RHEL 8.5 中,Insights 客户端现在上传此 JSON 文件,并在 Insights for Red Hat Enterprise Linux UI 中以易于理解的格式显示结果。

有关 Insights for Red Hat Enterprise Linux 中的 SQL Server 评估的更多信息,请参阅 SQL Server 数据库最佳实践现在通过 Red Hat Insights 获得

4.4.1. 设置 SQL Server 评估
复制链接

要将 Microsoft SQL 评估 API 配置为向 Red Hat Insights 提供信息,数据库管理员需要执行以下步骤。

流程

  1. 在您要评估的数据库中,使用 SQL Authentication 为 SQL Server 创建登录评估。以下 Transact-SQL 创建一个登录。将 <*PASSWORD*& gt; 替换为强密码: 

    USE [master]
GO
CREATE LOGIN [assessmentLogin] with PASSWORD= N'<*PASSWORD*>’
ALTER SERVER ROLE [sysadmin] ADD MEMBER [assessmentLogin]
GO
    Copy to Clipboard Toggle word wrap

  2. 按如下所示存储用于登录的凭证,再次将 <*PASSWORD*> 替换为在第 1 步中使用的密码。 

    # echo "assessmentLogin" > /var/opt/mssql/secrets/assessment
# echo "<*PASSWORD*>" >> /var/opt/mssql/secrets/assessment
    Copy to Clipboard Toggle word wrap

  3. 通过确保只有 mssql 用户可以访问凭证来保护评估工具使用的凭证。 

    # chmod 0600 /var/opt/mssql/secrets/assessment
# chown mssql:mssql /var/opt/mssql/secrets/assessment
    Copy to Clipboard Toggle word wrap

  4. 从 microsoft-tools 存储库下载 PowerShell。这与您在安装 mssql-toolsmssqlodbc17 软件包作为 SQL Server 安装的一部分时配置的存储库相同。 

    # yum -y  install powershell
    Copy to Clipboard Toggle word wrap

  5. 为 PowerShell 安装 SQLServer 模块。此模块包括评估 API。 

    # su mssql -c "/usr/bin/pwsh -Command Install-Module SqlServer"
    Copy to Clipboard Toggle word wrap

  6. 从 Microsoft 示例 GitHub 存储库下载 runassessment 脚本。确保它归 mssql 所有并由其执行。 

    # /bin/curl -LJ0 -o /opt/mssql/bin/runassessment.ps1 https://raw.githubusercontent.com/microsoft/sql-server-samples/master/samples/manage/sql-assessment-api/RHEL/runassessment.ps1
# chown mssql:mssql /opt/mssql/bin/runassessment.ps1
# chmod 0700 /opt/mssql/bin/runassessment.ps1
    Copy to Clipboard Toggle word wrap

  7. 创建用于存储 Red Hat Insights 使用的日志文件目录。同样,请确保它归 mssql 所有并可执行。 

    # mkdir /var/opt/mssql/log/assessments/
# chown mssql:mssql /var/opt/mssql/log/assessments/
# chmod 0700 /var/opt/mssql/log/assessments/
    Copy to Clipboard Toggle word wrap

  8. 现在,您可以创建第一个评估,但请务必以 mssql 用户身份这样做,以便后续评估可以作为 mssql 用户更加安全地通过 cron 或 systemd 自动运行。 

    # su mssql -c "pwsh -File /opt/mssql/bin/runassessment.ps1"
    Copy to Clipboard Toggle word wrap

  9. Insights for Red Hat Enterprise Linux 在下次运行时会自动包含评估,或者您可以通过运行以下命令来启动 Insights 客户端: 

    # insights-client
    Copy to Clipboard Toggle word wrap
4.4.1.1. 在计时器上设置 SQL 评估
复制链接

由于 SQL Server 评估可能需要 10 分钟或更长时间来完成,所以您可以每天自动运行评估过程,也可能不意义。如果要自动运行它们,Red Hat SQL Server 社区已创建了 systemd 服务和计时器文件,以用于评估工具。

流程

  1. 从红帽公共 SQL Server 社区下载以下文件,以实践 GitHub 站点

    • mssql-runassessment.service
    • mssql-runassessment.timer

  2. /etc/systemd/system/ 目录中安装这两个文件: 

    # cp mssql-runassessment.service /etc/systemd/system/
# cp mssql-runassessment.timer /etc/systemd/system/
# chmod 644 /etc/systemd/system/
    Copy to Clipboard Toggle word wrap

  3. 启用计时器: 

    # systemctl enable --now mssql-runassessment.timer
    Copy to Clipboard Toggle word wrap

4.5. 自定义系统标记
复制链接

通过将自定义分组和标记应用到您的系统,您可以将上下文标记添加到各个系统,根据 Insights for Red Hat Enterprise Linux 应用程序中的标签过滤,并更轻松地专注于相关系统。在大规模部署 Insights for Red Hat Enterprise Linux 时,此功能特别有价值,管理有大量数百个或数千个系统。

除了将自定义标签添加到多个 Insights for Red Hat Enterprise Linux 服务外,您还可以添加预定义的标签。顾问服务可以使用这些标签为您的系统创建目标建议,这些系统可能需要更多关注,比如那些需要较高级别的安全性的系统。

注意

要创建自定义和预定义的标签,您必须具有 root 权限或等效的权限,才能添加到或更改 /etc/insights-client/tags.yaml 文件。

4.5.1. 标签结构
复制链接

标签使用 namespace/key=value 对的结构。

  • namespace。命名空间是 ingestion 点( insights-client )的名称,且无法更改。tags.yaml 文件从命名空间中提取,在上传前由 Insights 客户端注入。
  • 密钥。密钥可以是用户选择的密钥,也可以是系统中的预定义密钥。您可以使用大写、字母、数字、符号和空格的组合。
  • 值。定义您自己的描述性字符串值。您可以使用大写、字母、数字、符号和空格的组合。
注意

顾问服务包括红帽支持的预定义标签。

4.5.2. 创建 tags.yaml 文件并添加自定义组
复制链接

使用 insights-client --group=<name-you-choose> 创建并为 /etc/insights-client/tags.yaml 添加标签,这会执行以下操作:

  • 创建 etc/insights-client/tags.yaml 文件
  • group= 键和 &lt ;name-you-choose&gt; 值添加到 tags.yaml
  • 将系统的新存档上传到 Insights for Red Hat Enterprise Linux 应用程序,以便立即看到新标签以及最新的结果

创建初始 标签后,通过编辑 /etc/insights-client/tags.yaml 文件根据需要添加额外的标签。

以下流程演示了如何创建 /etc/insights-client/tags.yaml 文件和初始组,然后验证 Insights for Red Hat Enterprise Linux 清单中是否存在该标签。

创建新组的步骤

  1. 以 root 用户身份运行以下命令,在 --group= 后添加自定义组名称: 

    [root@server ~]# insights-client --group=<name-you-choose>
    Copy to Clipboard Toggle word wrap

tags.yaml 格式示例

以下 tags.yaml 文件示例显示了一个文件格式示例,并为新组添加其他标签: 

# tags
---
group: eastern-sap
name: Jane Example
contact: jexample@corporate.com
Zone: eastern time zone
Location:
- gray_rack
- basement
Application: SAP
Copy to Clipboard Toggle word wrap

验证是否已创建自定义组的步骤

  1. 导航到 Red Hat Insights > RHEL > Inventory,并根据需要登录。
  2. 单击 Filter 结果 下拉菜单。
  3. 滚动浏览列表或使用搜索功能来定位标签。
  4. 单击标签以对其进行过滤。
  5. 验证您的系统是否在公告系统列表中的结果。

验证系统是否已标记的步骤

  1. 导航到 Red Hat Insights > RHEL > Inventory,并根据需要登录。
  2. 激活 Name 过滤器并开始输入系统名称,直到您看到您的系统,然后选择它。
  3. 验证系统名称旁边,标签符号为 darkened,并显示代表所应用正确标签数的数字。

4.5.3. 编辑 tags.yaml 以添加或更改标签
复制链接

创建组过滤器后,根据需要编辑 /etc/insights-client/tags.yaml 的内容,以添加或修改标签。

流程

  1. 使用命令行,打开标签配置文件进行编辑。

    [root@server ~]# vi /etc/insights-client/tags.yaml

  2. 根据需要编辑内容或添加额外的值。以下示例演示了如何在向系统添加多个标签时组织 tags.yaml

    # tags
---
group: eastern-sap
location: Boston
description:
- RHEL8
- SAP
key 4: value
    Copy to Clipboard Toggle word wrap
    注意

    根据需要添加任意数量的 key=value 对。使用大写、字母、数字、符号和空格的组合。

  3. 保存更改并关闭编辑器。

  4. (可选)为 Red Hat Enterprise Linux 生成到 Insights 的上传。 

    # insights-client
    Copy to Clipboard Toggle word wrap

Red Hat Insights 顾问服务建议同样地处理每个系统。但是,有些系统可能需要比其他系统更安全,或者需要不同的网络性能级别。除了添加自定义标签的功能外,Red Hat Insights for Red Hat Enterprise Linux 提供了预定义的标签,公告服务还可用来为可能需要更多关注的系统创建目标建议。

要选择并获取预定义的标签提供的扩展安全强化和增强检测和修复功能,您需要配置标签。配置后,公告服务会根据适用于您的系统的定制严重性级别和首选网络性能提供建议。

要配置标签,请使用 /etc/insights-client/tags.yaml 文件以类似的方式标记带有预定义标签的系统,您可能使用它来标记 inventory 服务中的系统。预定义的标签是使用用于创建自定义标签的相同 key=value 结构配置的。下表包括了 Red Hat-predefined tags 的详细信息。

Expand
表 4.1. 支持的预定义标签列表
备注

安全

normal (默认)/ strict

使用 normal (默认) 值,公告服务会将系统的风险配置集与从 RHEL 最新版本的默认配置以及经常使用的模式的默认配置进行比较。这会以数字为重点、可操作和低的建议。使用 严格 值时,公告服务将系统视为安全敏感,从而导致特定建议使用更严格的基线,甚至可能会在最新的 RHEL 安装中显示建议。

network_performance

null (默认)/ 延迟 / 吞吐量

首选网络性能(根据您的业务要求的延迟或吞吐量)会影响到系统的公告服务推荐的严重性。

注意

预定义的标签键名称被保留。如果您已使用关键 安全性,且值与其中一个预定义值不同,您不会在您的建议中看到更改。如果您的现有 key=value 与其中一个预定义键相同,才会看到建议更改。例如,如果您有一个 key=value of security: high,您的建议不会因为红帽定义的标签而改变。如果您目前有一个 key=valuesecurity: strict,则会在您的系统建议中看到更改。

其他资源

4.5.5. 配置预定义的标签
复制链接

您可以使用 Red Hat Insights for Red Hat Enterprise Linux 顾问服务的预定义标签来调整系统的建议行为,以便扩展安全强化和增强检测和修复功能。您可以按照这个流程配置预定义的标签。

先决条件

  • 有对系统的 root 级别访问权限
  • 已安装 Insights 客户端
  • 您已在 Insights 客户端中注册了系统
  • 您已创建了 tags.yaml 文件。有关创建 tags.yaml 文件的详情,请参考 创建 tags.yaml 文件并添加自定义组

流程

  1. 使用命令行和您首选的编辑器,打开 /etc/insights-client/tags.yaml。(以下示例使用 Vim。) 

    [root@server ~]# vi /etc/insights-client/tags.yaml
    Copy to Clipboard Toggle word wrap

  2. 编辑 /etc/insights-client/tags.yaml 文件,为标签添加预定义的 key=value 对。本例演示了如何添加 security: strictnetwork_performance: latency 标签。 

    # cat /etc/insights-client/tags.yaml
group: redhat
location: Brisbane/Australia
description:
- RHEL8
- SAP
security: strict
network_performance: latency
    Copy to Clipboard Toggle word wrap
  3. 保存您的更改。
  4. 关闭编辑器。

  5. 可选: 运行 insights-client 命令生成到 Red Hat Insights for Red Hat Enterprise Linux 的上传,或等待下一个调度的 Red Hat Insights 上传。 

    [root@server ~]# insights-client
    Copy to Clipboard Toggle word wrap

确认预定义的标签在您的生产区中

在生成上传到 Red Hat Insights (或等待下一个调度的 Insights 上传)后,您可以通过访问 Red Hat Insights > RHEL > Inventory 来查找标签是否在生产环境中。查找您的系统并查找新创建的标签。您会看到一个显示的表:

  • Name
  • 标签源(例如 insights-client)。

下图显示了您在创建标签后在清单中看到的示例。

突出显示显示当前名称和值以及标签源的信息
View larger image
突出显示显示当前名称和值以及标签源的信息

应用预定义的标签后的建议示例

以下公告服务镜像显示了配置了 network_performance: latency 标签的系统。

显示一个具有更高总风险的推荐,它比较重要,另一个建议具有 Total Risk 为 Moderate (中度)
View larger image
显示一个具有更高总风险的推荐,它比较重要,另一个建议具有 Total Risk 为 Moderate (中度)

系统显示具有较高的 Total Risk 级别 Important 的建议。没有 network_performance: latency 标签的系统具有中等总风险。您可以决定系统优先级更高的总风险。

第 5 章 参考
复制链接

请参阅以下参考资料以了解更多信息。

5.1. 参考资料
复制链接

要了解更多有关漏洞服务的信息,请参阅以下资源:

对红帽文档提供反馈
复制链接

我们非常感谢并对我们文档的反馈进行优先排序。提供尽可能多的详细信息,以便快速解决您的请求。

先决条件

  • 已登陆到红帽客户门户网站。

流程

要提供反馈,请执行以下步骤:

  1. 点击以下链接: Create Issue
  2. Summary 文本框中描述问题或功能增强。
  3. Description 文本框中提供有关问题或请求的增强的详细信息。
  4. Reporter 文本框中键入您的名称。
  5. Create 按钮。

此操作会创建一个文档票据,并将其路由到适当的文档团队。感谢您花时间来提供反馈。

法律通告
复制链接

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat