このスライドの位置づけ 対象 : RHEL を運用している管理者の方 目的 : RHEL を定期的にアップデートする際に 何が課題になるか 課題に対して利用できる各 種の仕組みは何があるかを紹介する 2

Similar documents
明日はじめるOpenSCAP

OS と Starter Pack の対応 (Express5800/R110j-1 向け ) OS と Starter Pack について Express5800/R110j-1 ( 以下サーバ本体製品 ) では Starter Pack のバージョンによってサポート可能な OS が決まります シ

PowerPoint プレゼンテーション

アップデート手順概要

ServerView RAID Manager VMware vSphere ESXi 6 インストールガイド

Agenda 1. 今回のバージョンアップについて a. バージョンアップ概要 b. バージョンアップ目的 c. 新バージョンのシステム要件に関する注意事項 d. 現行バージョンのサポート期間 2. 対応プラットフォームの追加 3. 新機能の追加および機能強化 2

内容環境... 3 対応 OS の変更... 3 関連アプリケーションの追加... 4 機能追加... 5 グラフ機能... 5 稼働率... 8 サービス一括削除 自動復旧エスカレーションコマンド AWS カスタムメトリックス監視 NRPE 任意監視... 11

sg_lenovo_os.xlsx

Windows ログオンサービス インストールマニュアル 2018/12/21 1

Installation Guide for Linux

サーバセキュリティサービスアップグレード手順書 Deep Security 9.6SP1 (Windows) NEC 第 1 版 2017/08/23

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

使用する前に

SigmaSystemCenter 仮想マシンサーバ(ESX)のIPアドレス変更手順(SSC3.0~3.5u1)

VMware vcloud Suite

1. はじめに (1) 本書の位置づけ 本書ではベジフルネット Ver4 の導入に関連した次の事項について記載する ベジフルネット Ver4 で改善された機能について 新機能の操作に関する概要説明 ベジフルネット Ver4 プログラムのインストールについて Ver4 のインストール手順についての説明

PowerPoint プレゼンテーション

FUJITSU Software Systemwalker Centric Manager Lite Edition V13.5 機能紹介資料

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

ESET Smart Security 7 リリースノート

WSUS Quick Package

WebSAM Storage JobCenter Lite 製品概要 WebSAM Storage JobCenter Lite は WebSAM JobCenter の機能の中から WebSAM Storage RepNavi Suite istorage DynamicDataReplicati

IPM Release 2.6 へのアップグ レード

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

PowerPoint プレゼンテーション

Express5800 WSUS 導入セットご紹介資料

ESET NOD32 アンチウイルス 8 リリースノート

CLUSTERPRO MC StorageSaver 2.2 for Linux リリースメモ 2017(Apr) NEC Corporation ライセンス パッケージのインストール セットアップ マニュアル 補足事項 注意事項

<MW-400k > InterSec/MW400k アップデート適用手順書 2017 年 8 月 1 版

はじめての RHEL on Azure Hajime Taira Solution Architect, Red Hat 2016/5/17

IBM Internet Security Systems NTFS ファイルシステム必須 一覧の 以後にリリースされた Service Pack (Release 2 等は除く ) は特に記載の無い限りサポートいたします メモリ 最小要件 512MB 推奨要件 1GB 最小要件 9GB 推奨要件

3. 導入手順 通常通り ESTRA-Web を起動し ログインしてください 自動アップデートの処理が開始されますが ご使用の PC の状態により その他のアップデート作業が必要になる場合があります (1).Net Framework Ver 以前の物が導入されている PC の場合以前

ESET NOD32 アンチウイルス 6 リリースノート

各プール内で作成される仮想マシンの台数は 実際の利用者数の状況を観て調整しているが どのプールも の間で設定している また 各プールで使用するデータストアについては 容量が 6TByte のものを8つ用意し 2 つを事務系仮想マシン用のプール 残り 6 つを研究系仮想マシン用のプール

ユーザズサイトのオフライン用検出エンジン( ウイルス定義データベース)を利用したオフライン更新手順書(バージョン 7 向け)

サーバ監視ソフトServerView RAID Manager、ServerView Agentless Service とLinux OS の組み合わせによるデータ欠損事象の発生環境確認、対処方法

System Center Virtual Machine Manager 2008 R2の留意事項一覧

CLUSTERPRO X for Windows PPガイド

スライド 1

LSI MegaRAID SAS Device Driver Installation Guide - 日本語

[Unifinity]運用マニュアル

サーバセキュリティサービス 導入手順書 Deep Security 9.5SP1 (Windows) プロキシ経由編

Red Hat Enterprise Linux 6 Portable SUSE Linux Enterprise Server 9 Portable SUSE Linux Enterprise Server 10 Portable SUSE Linux Enterprise Server 11 P

目次 1. はじめに 本書対象者 PALRO のアプリケーションについて Ubuntu 8.04LTS の入手について Linux 上での開発環境の構築 事前準備 Ubuntu のインストール..

Interstage Application ServerのTLS 1.1/1.2サポートについて(広報)

Microsoft PowerPoint - install_NGSsokushu_windows(ver2.1).pptx

Microsoft PowerPoint RHEL_サブスクリプション構成ガイド.pptx

Studuinoソフトウェアのインストール

Android エージェントをバージョンアップする アプリケーション配信機能を利用する場合 エージェントを再インストールする場合 App Manager を利用する場合 バージョンアップ確認方法 Android エージェントから確認

Windows8対応版「図脳RAPID17/PRO17」インストールの手引き

改版履歴 版数 日付 内容 担当 V /5/26 初版発行 STS V /7/28 動作条件の変更 STS メール通知文の修正 V /2/7 Windows8 の追加 STS V /2/2 Windows8. の追加 STS V

ETERNUS VSSHP サポート情報

『テクノス』V2プログラムインストール説明書

スライド 1

富士通サーバ「PRIMEQUEST」/「PRIMERGY」、ストレージ「ETERNUS」とEaton製UPS「9PX6K」および電源管理ソフトウェア「Intelligent Power Manager」との動作検証報告

HP Serviceguard Solution for Linux(11.20) の MIRACLE System Savior バックアップ検証報告書 MIRACLE System Savior を使用した HP Serviceguard Solution for Linux(11.20) 環境

ITRU利用のお願い

音声認識サーバのインストールと設定

目次 1. 動作環境チェック 動作必要環境 Java のインストール Java のインストール Firebird のインストール Firebird のインストール Adobe Reader のインストール

PowerPoint Presentation

ESMPRO/ServerManager Ver. 6 変更履歴

MIRACLE MH for SNMP サポート SLA( サービスレベルアグリーメント ) ML-CS-0747 本書は サイバートラスト株式会社 ( 以下 サイバートラスト ) が MIRACLE MH for SNMP サポート ( 以下当サポートサービス ) の内容について説明するものである

PowerTyper マイクロコードダウンロード手順

ServerView RAID Manager VMware vSphere ESXi 5 インストールガイド

また IS12T はアップデート以外の動作もできませんので アラームも動作しません IS12T のバージョンによりソフトウェアアップデート所要時間は異なります また インターネットの接続速度や パソコンの性能といったお客様の利用環境により 時間が延びることがあります 本アップデートについて 本ソフト

SimLab Plugins for SketchUp 評価版インストールおよびアクティベート方法 注意事項 評価版をお使い頂くには 評価用ライセンスでのアクティベートが必要です 評価用ライセンスファイルの取得を行い 手動でアクティベートする必要があります 各 SimLab プラグインは 評価用とし

新OS使用時の留意事項

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

CLUSTERPROXSingleServerSafe SingleServerSafe ご紹介 2007 年 10 月

Acronis® Backup & Recovery™ 10 Server for Linux

サポートニュース お知らせ Linux ゲートウェイ および Linux セキュリティのス キャナ (fsavd) が停止してしまう問題について ( 解決 ) 2015 年 01 月 26 日 12: 年 01 月 26 日 15:00 ( 更新 ) 2015 年 01 月 26 日

— intra-martで運用する場合のセキュリティの考え方    

RICOH Device Manager Pro バックアップ/バージョンアップ作業手順書

HP シンクライアント はじめにお読みください HP ThinPro 7 クイックマニュアル

ライフサイクル管理 Systemwalker Centric Manager カタログ

Client Management Solutions および Mobile Printing Solutions ユーザガイド

Transcription:

RHEL を定期的にアップデートする 際の課題と対策 2018-02-07 Red Hat K.K. Solution Architect 森若和雄 1

このスライドの位置づけ 対象 : RHEL を運用している管理者の方 目的 : RHEL を定期的にアップデートする際に 何が課題になるか 課題に対して利用できる各 種の仕組みは何があるかを紹介する 2

概要 RHEL でも定期的なアップデートは必須 Red Hat Enterprise Linux だけでここまでできる Red Hat Satellite があると? Red Hat Ansible Automation があると? 3

RHEL でも 定期的なアップデートは必須です Windows Server は定期的にアップデートしてますよね 同じことを RHEL だとやっていない できていない お客様が沢山います 毎月 3 ヶ月おき インストールした時点の最新で はい 5 年経ちました はい RHEL でも定期的なアップデートは必須です 4

アップデートを実施する際の課題 更新情報を含むインベントリ管理 : 適用するべき修正がどのシ ステムにどれだけ存在しているか 作業に抜け漏れはないか 優先順位の設定 : どのアップデートはすぐ対応するべきか ど のアップデートは定期更新でいいのか 更新パッケージの入手 : インターネットに接続していない場合 はどうやって入手するのか リポジトリのバージョン管理 : テスト環境でテストしたパッ ケージだけを本番環境で利用したい 複雑な更新手順の実施 : アップデート手順が複雑なので実施に 必要な工数が大きすぎる 5

Red Hat Enterprise Linux だけで ここまでできるよ 6

課題 : インベントリ管理 現状把握や作業の抜け漏れ予防のためインベント リ管理は必須 システムそれぞれにどのパッケージが含まれているか 適用するべき修正がどのシステムにどれだけ存在して いるか Red Hat Customer Portal 登録したシステムに対して適用可能な errata 一覧やサマリを表示 登録したシステムに該当する新しい errata が出荷されるとメール で通知 7

Customer Portal によるインベントリ管理 Customer Portal はインベントリ情報として各システムの基本 的な情報と導入されている製品 パッケージの情報を管理 登録したシステムでは yum コマンドによりパッケージそのも のと errata などのメタデータを取得できる 物理サーバ customer portal 仮想マシン ハイエンド サーバ アップデート情報 最新パッケージ デスクトップ 8

subscription-manager での登録 subscription-manager はシステム サブスクリプション リポジト リの登録 対応づけを管理するコマンド # subscription-manager register システムを登録 # subscription-manager attach システムにサブスクリプションを 対応づけ # subscription-manager repos リポジトリの利用有無を設定 customer portal システム サブスクリプション register attach repos リポジトリ 9

対応する errata だけを表示 / 通知 各ユーザの 登録システム 導入 rpm 情報 全 errata 情報 導入されている rpm を更新する errata のみ 抽出 システムに対応する errata Web で表示 メールで通知 10

customer portal での errata 確認 errata の 種類と重要度で 絞り込み https://access.redhat.com/management/errata 影響を受ける システム台数 11

customer portal でのシステム確認 https://access.redhat.com/management/systems 各システムに 適用可能なセキュリティ fix バグ fix, 機能拡張の数 12

課題 : 優先順位の設定 対処するべき脆弱性や設定の問題などは多数存在する 各修正作業に優先順位を設定する必要性 CVSS スコア 問題の重大さ システムの可用性要件 被害にあった場合の深刻さ等 脆弱性に対する 10 点満点の評価 攻撃に利用できる経路や攻撃の難し さなどで点数が決まります Red Hat の脆弱性情報には CVSS スコア が含まれます errata の重大度 セキュリティ問題についての errata は Critical, Important, Moderate, Low の 4 段階に分類されています 13

脆弱性データベース内での表示 この脆弱性の重大度は Important CVSS v2 では 6.2 点 14

customer portal での重大度表示 セキュリティ fix のみ Critical, Important, Moderate, Low の 4 段階で評価 15 https://access.redhat.com/downloads/content/69/ver=/rhel---7/7.4/x86_64/product-errata

各システム内での確認 yum updateinfo errata の数と種類を表示 yum updateinfo list 該当する errata とパッ ケージのリスト 16

各システム内での確認 ( 続 ) yum updateinfo info 該当する errata の説明表示 17

課題 : 更新パッケージの入手 Red Hat Customer Portal yum コマンドへ更新情報やパッケージを供給 ダウンロードページから rpm パッケージを入手 cdn.redhat.com への接続が必要 自動的に依存関係を解決してくれないので煩雑 reposync コマンドによるリポジトリの同期 reposync を実行するシステムに対応するリポジトリを 同期可能 18

yum コマンドでのダウンロードと インストール yum update コマンド システムに含まれているパッケージ全てを最新へ更新 依存関係解決を行い 必要になったパッケージを追加 yum update パッケージ名 コマンド 指定した特定のパッケージを更新 依存関係解決を行い 指定したパッケージを更新する ために必要なパッケージを同時に更新 追加 19

yum コマンドでのダウンロードと インストール ( 続 ) セキュリティ fx が出ていれば適用したい yum update --security 特定の CVE に関連する修正を適用したい yum update --cve CVE-2008-0947 RHEL 6 以前では yum-plugin-security パッケージのインストールが必 要です (https://access.redhat.com/ja/solutions/207493) 20

customer portal でのダウンロード 各パッケージを ダウンロード 21

reposync でのローカルミラー作成 subscription-manager で登録後 そのシステ ムで利用可能なリポジトリを reposync コマン ドでミラーできる 例 : reposync -r rhel-7-server-rpms 詳しくはナレッジベース How to synchronize repository on system registered to CDN via subscription-manager を参照 https://access.redhat.com/articles/1355053 22

Red Hat Satellite があると? 23

Red Hat Satellite とは? Red Hat Satellite は構内にサーバを構築し インターネット接続 がない環境でも Customer Portal 相当の機能を提供する他 サー ドパーティ rpm パッケージの配布 リポジトリのバージョン管 理 リモートコマンド実行などの追加機能を提供します パッケージ & 設定 customer portal 物理サーバ 仮想マシン ハイエンド サーバ アップデート情報 最新パッケージ 構成情報収集 デスクトップ 24

課題 : 更新パッケージの入手 Red Hat Satellite Server 製品 バージョン アーキテクチャをあらかじめ指定し てリポジトリを定期的に同期 インターネット接続がない Satellite Server のため ISO イメージ形式で更新データを配布しています ( 不定期 ) 別システムで ISO イメージをダウンロード後 USB メモリや DVD-R などでデータを持ち込む 同期用 Satellite Server から インターネット接続がな い Satellite Server へパッケージ同期する仕組みも提供 25

Satellite でのリポジトリ同期 26

課題 : リポジトリのバージョン管理 テスト環境でテストしたパッケージだけを本番環境に適 用したい 問題になるケースの例 : 7 月 10 日にテスト環境を構築し 約 2 週間テストを行う 8 月 15 日にテスト環境と同じ手順でアップデートを実施 全く同じ手順を実施したが yum update コマンドで更新される内容 が異なる よく調べてみると 8 月 1 日に新しい修正が出荷されていた Red Hat Satellite リポジトリのスナップショットを作成し 各システムがどの世 代を参照できるかを管理する Content View 機能を提供 27

リポジトリのバージョン管理 このパッチ当てても大丈夫 レポジトリ コンテンツビュー のバージョン管理で アップデート検証 本番適用のワークフローが明確に ver 1.0 編集用 ライブラリ - 2015-04-01 時点の 最新パッケージ NG! ver 2.0 Publish New Ver. OK! - 2015-04-01 時点の 最新パッケージ - kernel は 5/1 時点の 最新のものを利用 ver 3.0OK! アップデート適用 Publish New Ver. - 2015-04-01 時点の 最新パッケージ - kernel は 5/1 時点の 最新のものを利用 - VENOM 対応追加 Promote 検証環境向け リリース (QA) ver 2.0 NG! - 2015-04-01 時点の 最新パッケージ - kernel は 5/1 時点の 最新のものを利用 Promote ver 3.0OK! アップデート適用 - 2015-04-01 時点の 最新パッケージ - kernel は 5/1 時点の 最新のものを利用 - VENOM 対応追加 Promote 本番環境向け リリース (Prod) ver 3.0 太 鼓 判 アップデート適用 - 2015-04-01 時点の 最新パッケージ - kernel は 5/1 時点の 最新のものを利用 - VENOM 対応追加 28

リポジトリのバージョン管理 イメージ図 コン テ パッケージの 提供タイミングは 基本的に なるはや 1. 任意のタイミングで リポジトリにバージョン付与 ンツ 同期 3. yum コマンドで アップデート Satellite 2. 各環境へ バージョンを 割り当て ver. 15.0 パッケージを同期 各サーバのインベントリ ver. 13.0 コンテンツのバージョン管理 4. テストした 内容で アップデート テスト環境 本番環境 29

コンテンツビュー管理画面 30

Red Hat Ansible Automation が あると? 31

複雑な更新手順を確実に再現したい 複雑なシステムでは単純に 全システムで yum update を実行して完了 では済まない 前後に手順が必要 バックアップ作成 ロードバラ ンサ切り替え クラスタからの除外 再参加など 制約条件 同一クラスタ内では同時に 1 台しか停止 しないなど アップデートに工数がかかると実施が難しい 自動化による対策が有効 32

Red Hat Ansible Automation 様々な OS ネットワーク機器 仮想化基盤 クラウドなどを操作することが可能な自動化エ ンジンと管理ツール 典型的な操作や制約条件を直感的に記述できる 記法 テスト環境で確立したアップデート手順を再現 33

Ansible Tower による更新の例 playbook 1. アップデート前に VMware で VM のスナップショットを作成 vcenter log 2. クラスタに属するシステムを 1 台ずつ yum でアップデート 3. エラーが発生したら更新を 中止しスナップショットへの ロールバックを実施 4. Ansible Tower で各ジョブの成功 失敗 ログを確認 34

Satellite + Ansible イメージ図 コン テ 任意タイミングで 社内用バージョン作成 ンツ 同期 インベントリ情報同期 更新指示 Satellite コンテンツのバージョン管理により タイミングによらずテストしたものと 同じリポジトリを提供 インベントリ管理により抜け漏れ防止 インストール アップデート テストしたものと 同じ操作を実行 35

まとめ Red Hat Enterprise Linux でも定期的なアップデート は必須です Red Hat Enterprise Linux だけでもある程度管理でき る仕組みを提供しています (Customer Portal) Red Hat Satellite はインターネット接続がない環境や リポジトリのバージョン管理が必要な場合に有効です Red Hat Ansible Automation でアップデート手順を 自動化することで実施しやすくなります 36

Appendix 37

課題と製品の対応表 RHEL 更新情報を含むイ ンベントリ管理 優先順位の設定 更新パッケージの 入手 OK インターネッ ト接続が必要 脆弱性修正のみ OK インターネット 接続がないと煩雑 Satellite Ansible OK N/A 脆弱性修正のみ N/A OK N/A 更新パッケージの バージョン管理 N/A OK N/A 複雑な更新手順の 実施 N/A N/A 可 38

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック