第 24 章 Solaris パッチの管理 (概要)

パッチの管理には、Solaris を実行しているシステムでの Solaris パッチの表示または追加が含まれます。また、不要なパッチや障害の発生したパッチの削除が含まれる場合もあります。パッチの削除は、パッチの「バックアウト」とも呼ばれます。

この章の内容は次のとおりです。

• パッチについて

• Solaris パッチへのアクセス

• Solaris パッチの管理用ツール

システムにパッチを追加する手順については、Solaris 環境での高度なパッチ管理 (作業マップ)を参照してください。

パッチをディスクレスクライアントシステムに追加する方法については、ディスクレスクライアント OS サービスにパッチを適用するを参照してください。

パッチについて

パッチは、既存のソフトウェアの正常な実行の妨げとなっているファイルとディレクトリを置換または更新するためのファイルとディレクトリの集まりです。既存のソフトウェアと同様に、パッチはアプリケーションバイナリインタフェースに準拠している指定の「パッケージ」形式を元に作成されます。パッケージの詳細については、第 22 章「ソフトウェアの管理 (概要)」を参照してください。

署名付きパッチについて

「署名付き」パッチとは、デジタル署名の付いたパッチのことです。有効なデジタル署名付きのパッチは、署名が適用された以降はパッチの変更が行われていないことを保証します。署名付きパッチには、パッチをシステムに追加する前に確認できるデジタル署名が含まれています。このため、パッチのダウンロードやパッチの追加を安全に行うことができます。

Solaris 2.6、7、8、および 9 リリースのパッチには、デジタル署名が付属しています。デジタル署名のないパッチ (「署名なしパッチ」) もありますが、最終的にはすべてのパッチが「署名付きパッチ」になる予定です。 有効なデジタル署名は、署名が適用された以降にパッチの変更が行われていないことを保証します。

署名付きパッチは Java アーカイブ形式 (JAR) ファイルに格納され、SunSolve Online^SM から入手できます。

Sun の証明書を使用して署名付きパッチを検証する

デジタル署名付きのパッチアーカイブをダウンロードしたあと、Sun Microsystems から発行された認証済みデジタル証明書を使って、このパッチアーカイブが改ざんされていないことを検証できます。こうした証明書は、システムのキーストアにインポートされます。キーストアは、保護されたデータベースです。ここに、Sun のキーや証明書が格納されます。システムのキーストアに証明書をインポートするには、keytool コマンドを使用します。keytool コマンドの使用方法については、キーストアに Sun の証明書をインポートする方法を参照してください。

Sun の証明書をインポートするときに特別なパスワードを指定して、キーストアへのアクセスを保護できます。

SUNWcert パッケージには、パッチの署名を検証するために必要な Sun の証明書発行ソフトウェア (CA) が収められています。 SUNWcert パッケージの入手方法は次のとおりです。

• Solaris 2.6、7、および 8 の場合 – SUNWcert パッケージは、Solaris 2.6、7、または 8 のパッチ管理ツールをダウンロードしてインストールするときに自動的にインストールされます。

• Solaris 9 の場合 – SUNWcert パッケージは、Solaris 9 パッチ管理ツールをダウンロードしてインストールするときに自動的にインストールされます。

• セキュリティ保護された、次のいずれかのサイトからダウンロードします。

  • https://uk.sunsolve.sun.com/SUNWcert/

  • https://de.sunsolve.sun.com/SUNWcert/

  • https://se.sunsolve.sun.com/SUNWcert/

  • https://ch.sunsolve.sun.com/SUNWcert/

  • https://fr.sunsolve.sun.com/SUNWcert/

  • https://sunsolve.sun.com/SUNWcert/

  • https://sunsolve.sun.co.jp/SUNWcert/

SUNWcert パッケージ内の証明書が http://www.sun.com/pki/index.html の認証情報と一致していることを確認できます。

SunPKI 登録ソフトウェア

SunPKI (Sun Public Key Infrastructure) アーキテクチャは、ルート CA (Certificate Authority) と呼ばれる最高レベルの証明書と、Sun Microsystems が発行する下位 CA (Class B) 証明書で構成されています。署名付きパッチのデジタル署名の検証には、Sun Enterprise Services 発行の追加証明書 (パッチ管理証明書) が使用されます。

Sun のルート CA 証明書、Sun の Class B CA 証明書、およびパッチ署名証明書は、SUNWcert パッケージに収められています。

この 3 つの証明書により、Sun ルート CA 証明書から Class B CA 証明書、Class B CA 証明書からパッチ管理証明書にさかのぼってパッチの信頼性を検証する「認証チェーン」が構成されます。最終的に、Sun のルート CA は、GTE CyberTrust CA によって認証されます。

Sun の証明書は、先頃 GTE CyberTrust を買収した Baltimore Technologies によって発行されています。

証明書発行局は、パッチのデジタル署名の復号に使用される公開鍵と、こうした公開鍵の所有者の関係を認証します。

Sun CA プロセスには次のような意味があります。

• Sun がデジタル証明書を発行し、認証する。

• Sun 所有の秘密鍵で、証明書内の公開鍵のペアが作成される。

• これらの証明書はもっぱらビジネスの目的で使用される。証明書ユーザーが Sun の証明書ポリシーに違反した場合、その証明書は廃棄されるか、一時的に無効になる。

Sun の証明書ポリシーの詳細については、http://www.sun.com/pki/cps.html を参照してください。

Sun の証明書の廃棄

Sun のルート証明書または Class B 証明書が盗難などによって紛失した場合、http://www.sun.com/pki/ca/pkismica.crl.html に廃棄された証明書のリストが送信されます。

このサイトで、インポートされている証明書が有効であるかどうかを定期的に確認することをお勧めします。インポートされている証明書が廃棄された場合は、キーストアから削除し、新しい証明書をインポートしてください。

署名付きパッチ証明書が廃棄された場合、該当する署名付きパッチが SunSolve の Web サイトから削除され、代わりに新しいデジタル署名付きパッチが配置されます。

Solaris パッチへのアクセス

Sun のすべてのユーザーは、SunSolve Online^SM の Web サイトからパッチにアクセスできます。次の表に、Solaris パッチにアクセスするためのさまざまな方法を示します。

Solaris パッチには、Web サイトから、または匿名 ftp サービスを利用してアクセスできます。

Web サイトからパッチにアクセスする場合は、システムが次の要件を満たしている必要があります。

• インターネットに接続されている

• Netscape^TM などの Web ブラウザを実行できる

匿名 ftp を使用してパッチにアクセスする場合は、システムが次の要件を満たしている必要があります。

• インターネットに接続されている

• ftp プログラムを実行できる

次の URL を使って、SunSolve Online^SM の Web サイトからパッチにアクセスします。

http://sunsolve.Sun.COM/pub-cgi/show.pl?target=patches/patch-access

推奨されるいくつかのパッチからなるパッチクラスタをインストールすることも、自由に使用できる個々のパッチをインストールすることもできます。パッチレポートも入手できます。

Solaris パッチの番号付け

パッチは、固有の英数字文字列によって識別されます。これは、パッチのベース番号、ハイフン (-)、パッチの改訂バージョン番号、の順で構成されています。たとえば、パッチ 108528-10 は SunOS 5.8 カーネル更新用パッチの「パッチ ID」です。

Solaris パッチの管理用ツール

次の表に、Solaris パッチの管理機能の概要を示します。

* patchadd コマンドで署名付きパッチを展開し、システムに追加することができますが、デジタル署名は失われます。署名付きパッチを手動で検証し、patchadd コマンドで追加する方法については、http://sunsolve.Sun.COM/patches/spag.pdf を参照してください。

パッチのインストール方法とバックアウト方法の詳細は、patchadd(1M) および patchrm(1M) のマニュアルページを参照してください。各パッチには、パッチ情報が記載されている README ファイルも含まれています。

署名付きパッチ用の Solaris パッチ管理ツール

Solaris 2.6、7、および 8 を実行するシステム上の署名付きパッチを管理するには、Solaris Patch Manager Base バージョン 1.0 (smpatch コマンド) を使用します。Solaris 9 を実行するシステム上の署名付きパッチを管理するには、smpatch コマンドと PatchPro 2.1 を併用します。

どちらのパッチツールにも、次の機能があります。

• 必要なパッチを調べ、ローカルシステムに署名付きパッチをダウンロードする。PatchPro Expert と同様に、 /etc/patchpro_hdw.conf ファイルの内容からインストールされているハードウェアを特定する。どちらのツールも、この機能以外は完全に独立している。

• JAR 形式の署名付きパッチを 1 つ以上適用することにより、追加するパッチ (1 つまたは複数) を認証する。

• 1 つ以上のパッチを削除することにより、パッチ (1 つまたは複数) を削除する前にその依存関係を検査する。

• デフォルトパッチポリシーを設定することにより、clientroot、clientusr 、rebootafter、 standard をはじめとする多種多様なパッチをインストールできる。

• Solaris 9 リリースにアップグレードすると、自動的に最新バージョンの smpatch コマンドを使用できるようになる。

patchadd コマンドは、Solaris 2.6、7、8、および 9 を実行するシステムに署名なしパッチを追加する場合にも使用できます。Patch Manager Base バージョン 1.0 は、この目的では使用できません。

Solaris 2.6、7、または 8 の署名付きパッチツールを使用する際の制限事項

Solaris 2.6、7、および 8 の署名付きパッチツールには、次の制限が課されています。

• 代替ブート環境やディスクレスクライアントには、署名付きパッチをインストールできない。

• デジタル署名のないパッチはインストールできない。

• rebootimmediate、reconfigimmediate、または nonconforming 属性を持つパッチはインストールできない。

Solaris パッチ管理ツールのパッケージの制限事項

パッチ管理ツールをインストールすると、ツールの実行に必要な複数の Solaris パッケージ (Java パッケージなど) がシステムに追加されます。パッチツールのインストール前にインストールしておかなければならないパッケージもあります。次に、該当するパッケージを一覧します。

• Solaris 2.6 リリース – Core クラスタと、SUNWmfrun、SUNWlibC、および SUNWxcu4 パッケージ

• Solaris 7 および 8 リリース – Core クラスタと、SUNWmfrun および SUNWlibC パッケージ

• Solaris 9 リリース – Solaris 管理コンソールのパッチツールと PatchPro 2.1 を使用する場合は開発者クラスタ (SUNWprog) が必須

システムに必要な Solaris パッケージがインストールされているかどうかを検証する方法については、署名付きパッチツールのパッケージ要件を確認する方法を参照してください。

Solaris パッチ管理ツールのダウンロード

Solaris パッチ管理ツールは、次の URL からダウンロードできます。

https://www.sun.com/PatchPro

使用している Solaris リリースのリンクをたどり、適切な tar ファイルを選択してください。

署名付きパッチの追加方法の選択

パッチ管理ツールのインストールが完了したら、システムに署名付きまたは署名なしパッチをダウンロードし、追加できます。これには、複数の方法が存在します。次の表を参考にして、現在の要件にもっとも適した方法を選択してください。