SLES 12でのライブパッチ処理

SLES 12システムでは、ライブパッチ処理はkGraftで管理されます。 kGraftの使用に関する詳細については、https://documentation.suse.com/sles/12-SP5/html/SLES-all/cha-kgraft.htmlを参照してください。

開始する前に、以下を確認します。

  • SUSE Managerが完全に更新されている。

  • SLES 12 (SP1以降)を実行している1つ以上のSaltクライアントがある。

  • SLES 12 SaltクライアントがSUSE Managerに登録されている。

  • ライブパッチ処理の子チャンネルを含む、アーキテクチャに適したSLES 12チャンネルにアクセスできる。

  • クライアントが完全に同期されている。

  • クライアントをライブパッチ処理用に準備されているクローンチャンネルに割り当てる。 準備の詳細については、ライブパッチ処理用のチャンネルの設定を参照してください。

プロシージャ: ライブパッチ処理の設定

  1. システム  概要からライブパッチ処理を使用して管理するクライアントを選択し、システムの詳細ページで、ソフトウェア  パッケージ  インストールタブに移動します。 kgraftパッケージを検索して、インストールします。

    enable live patching kgraft install

  2. highstateを適用してライブパッチ処理を有効にし、クライアントを再起動します。

  3. ライブパッチ処理で管理するクライアントごとに繰り返します。

  4. ライブパッチ処理が正常に有効化されていることを確認するには、システム  システム一覧からクライアントを選択し、[ライブパッチ処理]が[カーネル]フィールドに表示されていることを確認します。

プロシージャ: ライブパッチのカーネルへの適用

  1. SUSE Manager Web UIで、システム  概要からクライアントを選択します。 画面の上部のバナーに、クライアントに使用できる重要なパッケージ数と、重要ではないパッケージ数が表示されます。

  2. 重大 をクリックすると、使用可能な重大なパッチのリストが表示されます。

  3. Important: Security update for the Linux kernel](重要: Linuxカーネル用のセキュリティ更新)という概要のパッチを選択します。 セキュリティバグには該当する場合はCVE番号も含まれます。

  4. オプション: 適用するパッチのCVE番号がわかっている場合は、監査  CVE監査で検索し、必要なクライアントにパッチを適用します。

  • すべてのカーネルパッチがライブパッチであるわけではありません。 非ライブカーネルパッチは[セキュリティ] シールドアイコンの横にある[要再起動]アイコンで示されます。これらのパッチでは常に再起動が必要です。

  • ライブパッチを適用しても、すべてのセキュリティ問題を修正できるわけではありません。 一部のセキュリティの問題は、カーネルの完全な更新を適用することでのみ修正でき、再起動が必要です。 これらの問題に割り当てられたCVE番号は、ライブパッチには含まれていません。 CVE監査ではこの要件が表示されます。