SLES 15 上的在线增补

在 SLES 15 和更高版本的系统上,可以通过 klp livepatch 工具管理在线增补。

在开始之前,请确保:

  • SUSE Manager 已完全更新。

  • 您有一个或多个运行 SLES 15(SP1 或更高版本)的 Salt 客户端。

  • 您的 SLES 15 Salt 客户端已注册到 SUSE Manager。

  • 您有权访问适合您的体系结构的 SLES 15 通道,包括一个或多个在线增补子通道。

  • 客户端已完全同步。

  • 将客户端指派到为在线增补准备的克隆通道。 有关准备工作的详细信息,请参见 设置在线增补通道

过程:设置在线增补
  1. 系统  概览中选择您要使用在线增补管理的客户端,然后导航到软件  软件包  安装选项卡。 搜索 kernel-livepatch 软件包并安装。

    enable live patching kernel live install
  2. 应用 Highstate 以启用在线增补,然后重引导客户端。

  3. 对您要使用在线增补管理的每个客户端重复上述过程。

  4. 要检查是否已正确启用在线增补,请从系统  系统列表中选择客户端,并确保在线补丁出现在内核字段中。

过程:将在线补丁应用于内核
  1. 在 SUSE Manager Web UI 中,从系统  概览中选择客户端。 屏幕顶部的横幅显示了客户端可用的关键和非关键软件包数量:

    live patching criticalupdates
  2. 单击 关键 查看可用的关键补丁列表。

  3. 选择其摘要显示为重要:Linux 内核的安全更新的任何补丁。 安全 bug 还包含其 CVE 编号(如果适用)。

  4. 可选:如果您知道要应用的补丁的 CVE 编号,可以在审计  CVE 审计中搜索该补丁,并将它应用于任何需要它的客户端。

  • 并非所有内核补丁都是在线补丁。非在线内核补丁由安全盾牌图标旁边的需要重引导图标表示。这些补丁在应用后始终需要重引导。

  • 并非所有安全问题都可以通过应用在线补丁来解决。某些安全问题只能通过应用完整内核更新来解决,并需要重引导。针对这些问题指派的 CVE 编号不包含在在线补丁中。CVE 审计会显示此要求。