SLES 12 上的在线增补

在 SLES 12 系统上,可以通过 kGraft 管理在线增补。有关 kGraft 用法等详细信息,请参见 https://documentation.suse.com/sles/12-SP5/html/SLES-all/cha-kgraft.html

在开始之前,请确保:

  • SUSE Manager 已完全更新。

  • 您有一个或多个运行 SLES 12(SP1 或更高版本)的 Salt 客户端。

  • 您的 SLES 12 Salt 客户端已注册到 SUSE Manager。

  • 您有权访问适合您的体系结构的 SLES 12 通道,包括一个或多个在线增补子通道。

  • 客户端已完全同步。

  • 将客户端指派到为在线增补准备的克隆通道。 有关准备工作的详细信息,请参见 设置在线增补通道

过程:设置在线增补

  1. 系统  概览中选择您要使用在线增补管理的客户端,然后在系统细节页面上导航到软件  软件包  安装选项卡。 搜索 kgraft 软件包并安装。

    enable live patching kgraft install

  2. 应用 Highstate 以启用在线增补,然后重引导客户端。

  3. 对您要使用在线增补管理的每个客户端重复上述过程。

  4. 要检查是否已正确启用在线增补,请从系统  系统列表中选择客户端,并确保在线增补出现在内核字段中。

过程:将在线补丁应用于内核

  1. 在 SUSE Manager Web UI 中,从系统  概览中选择客户端。 屏幕顶部的横幅显示了客户端可用的关键和非关键软件包数量:

    live patching criticalupdates

  2. 单击 关键 查看可用的关键补丁列表。

  3. 选择其摘要显示为重要:Linux 内核的安全更新的任何补丁。 安全 bug 还包含其 CVE 编号(如果适用)。

  4. 可选:如果您知道要应用的补丁的 CVE 编号,可以在审计  CVE 审计中搜索该补丁,并将它应用于任何需要它的客户端。

  • 并非所有内核补丁都是在线补丁。非在线内核补丁由安全盾牌图标旁边的需要重引导图标表示。这些补丁在应用后始终需要重引导。

  • 并不是所有安全问题都能通过应用在线补丁来解决。 有些安全问题只能通过应用完整的内核更新来解决,并且此过程需要重引导系统。针对这些问题指派的 CVE 编号不包含在在线补丁中。CVE 审计会显示此要求。