SLES 12でのライブパッチ処理

SLES 12システムでは、ライブパッチ処理はkGraftで管理されます。 kGraftの使用に関する詳細については、https://documentation.suse.com/sles/12-SP5/html/SLES-all/cha-kgraft.htmlを参照してください。

開始する前に、以下を確認します。

  • SUSE Multi-Linux Managerが完全に更新されている。

  • SLES 12 (SP1以降)を実行している1つ以上のSaltクライアントがある。

  • SLES 12 SaltクライアントがSUSE Multi-Linux Managerに登録されている。

  • ライブパッチ処理の子チャンネルを含む、アーキテクチャに適したSLES 12チャンネルにアクセスできる。

  • クライアントが完全に同期されている。

  • クライアントをライブパッチ処理用に準備されているクローンチャンネルに割り当てる。 準備の詳細については、ライブパッチ処理用のチャンネルの設定を参照してください。

プロシージャ: ライブパッチ処理の設定
  1. システム  概要からライブパッチ処理を使用して管理するクライアントを選択し、システムの詳細ページで、ソフトウェア  パッケージ  インストールタブに移動します。 Search for the kgraft package, and install it.

    enable live patching kgraft install
  2. highstateを適用してライブパッチ処理を有効にし、クライアントを再起動します。

  3. ライブパッチ処理で管理するクライアントごとに繰り返します。

  4. To check that live patching has been enabled correctly, select the client from Systems  System List, and ensure that Live Patching appears in the Kernel field.

プロシージャ: ライブパッチのカーネルへの適用
  1. SUSE Multi-Linux Manager Web UIで、システム  概要からクライアントを選択します。 画面の上部のバナーに、クライアントに使用できる重要なパッケージ数と、重要ではないパッケージ数が表示されます。

  2. 重大 をクリックすると、使用可能な重大なパッチのリストが表示されます。

  3. Select any patch with a synopsis reading Important: Security update for the Linux kernel. セキュリティバグには該当する場合はCVE番号も含まれます。

  4. オプション: 適用するパッチのCVE番号がわかっている場合は、監査  CVE監査で検索し、必要なクライアントにパッチを適用します。

  • すべてのカーネルパッチがライブパッチであるわけではありません。 非ライブカーネルパッチは[セキュリティ] シールドアイコンの横にある[要再起動]アイコンで示されます。これらのパッチでは常に再起動が必要です。

  • ライブパッチを適用しても、すべてのセキュリティ問題を修正できるわけではありません。 一部のセキュリティの問題は、カーネルの完全な更新を適用することでのみ修正でき、再起動が必要です。 これらの問題に割り当てられたCVE番号は、ライブパッチには含まれていません。 CVE監査ではこの要件が表示されます。