SLES 15 上的实时修补

On SLES 15 systems and newer, live patching is managed by the klp livepatch tool.

在开始之前,请确保:

  • SUSE Multi-Linux Manager 已完全更新。

  • 您有一个或多个运行 SLES 15(SP1 或更高版本)的 Salt 客户端。

  • 您的 SLES 15 Salt 客户端已注册到 SUSE Multi-Linux Manager。

  • 您有权访问适合您的体系结构的 SLES 15 通道,包括一个或多个实时修补子通道。

  • 客户端已完全同步。

  • 将客户端指派到为实时修补准备的克隆通道。 有关准备工作的详细信息,请参见 设置实时修补通道

过程:设置实时修补
  1. 系统  概览中选择您要使用实时修补管理的客户端,然后导航到软件  软件包  安装选项卡。 Search for the kernel-livepatch package, and install it.

    enable live patching kernel live install
  2. 应用 Highstate 以启用实时修补,然后重引导客户端。

  3. 对您要使用实时修补管理的每个客户端重复上述过程。

  4. To check that live patching has been enabled correctly, select the client from Systems  System List, and ensure that Live Patch appears in the Kernel field.

过程:将在线补丁应用于内核
  1. 在 SUSE Multi-Linux Manager Web UI 中,从系统  概览中选择客户端。 屏幕顶部的横幅显示了客户端可用的关键和非关键软件包数量。

  2. 单击 关键 查看可用的关键补丁列表。

  3. Select any patch with a synopsis reading Important: Security update for the Linux kernel. 安全 bug 还包含其 CVE 编号(如果适用)。

  4. 可选:如果您知道要应用的补丁的 CVE 编号,可以在审计  CVE 审计中搜索该补丁,并将它应用于任何需要它的客户端。

  • 并非所有内核补丁都是在线补丁。非在线内核补丁由安全盾牌图标旁边的需要重引导图标表示。这些补丁在应用后始终需要重引导。

  • 并非所有安全问题都可以通过应用在线补丁来解决。某些安全问题只能通过应用完整内核更新来解决,并需要重引导。针对这些问题指派的 CVE 编号不包含在在线补丁中。CVE 审计会显示此要求。