パッチの管理には、Solaris を実行しているシステムでの Solaris パッチの表示または追加が含まれます。また、不要なパッチや障害の発生したパッチの削除が含まれる場合もあります。パッチの削除は、パッチの「バックアウト」とも呼ばれます。
この章の内容は次のとおりです。
システムにパッチを追加する手順については、Solaris 環境での高度なパッチ管理 (作業マップ)を参照してください。
パッチをディスクレスクライアントシステムに追加する方法については、ディスクレスクライアント OS サービスにパッチを適用するを参照してください。
パッチは、既存のソフトウェアの正常な実行の妨げとなっているファイルとディレクトリを置換または更新するためのファイルとディレクトリの集まりです。既存のソフトウェアと同様に、パッチはアプリケーションバイナリインタフェースに準拠している指定の「パッケージ」形式を元に作成されます。パッケージの詳細については、第 22 章「ソフトウェアの管理 (概要)」を参照してください。
「署名付き」パッチとは、デジタル署名の付いたパッチのことです。有効なデジタル署名付きのパッチは、署名が適用された以降はパッチの変更が行われていないことを保証します。署名付きパッチには、パッチをシステムに追加する前に確認できるデジタル署名が含まれています。このため、パッチのダウンロードやパッチの追加をより安全に行うことができます。
Solaris 2.6、7、8、および 9 リリースのパッチには、デジタル署名が付属しています。デジタル署名のないパッチ (「署名なしパッチ」) もありますが、最終的にはすべてのパッチが「署名付きパッチ」になる予定です。 有効なデジタル署名は、署名が適用された以降にパッチの変更が行われていないことを保証します。
署名付きパッチは Java アーカイブ形式 (JAR) ファイルに格納され、SunSolve OnlineSM から入手できます。
デジタル署名付きのパッチアーカイブをダウンロードしたあと、Sun Microsystems から発行された認証済みデジタル証明書を使って、このパッチアーカイブが改ざんされていないことを検証できます。こうした証明書は、システムのキーストアにインポートされます。キーストアは、保護されたデータベースです。ここに、Sun のキーや証明書が格納されます。システムのキーストアに証明書をインポートするには、keytool コマンドを使用します。keytool コマンドの使用方法については、キーストアに Sun の証明書をインポートする方法を参照してください。
Sun の証明書をインポートするときに特別なパスワードを指定して、キーストアへのアクセスを保護できます。
SUNWcert パッケージには、パッチの署名を検証するために必要な Sun の証明書発行ソフトウェア (CA) が収められています。 SUNWcert パッケージの入手方法は次のとおりです。
Solaris 2.6、7、および 8 の場合 – SUNWcert パッケージは、Solaris 2.6、7、または 8 のパッチ管理ツールをダウンロードしてインストールするときに自動的にインストールされます。
Solaris 9 の場合 – SUNWcert パッケージは、Solaris 9 パッチ管理ツールをダウンロードしてインストールするときに自動的にインストールされます。
セキュリティ保護された、次のいずれかのサイトからダウンロードします。
SUNWcert パッケージ内の証明書が http://www.sun.com/pki/index.html の認証情報と一致していることを確認できます。
SunPKI (Sun Public Key Infrastructure) アーキテクチャは、ルート CA (Certificate Authority) と呼ばれる最高レベルの証明書と、Sun Microsystems が発行する下位 CA (Class B) 証明書で構成されています。署名付きパッチのデジタル署名の検証には、Sun Enterprise Services 発行の追加証明書 (パッチ管理証明書) が使用されます。
Sun のルート CA 証明書、Sun の Class B CA 証明書、およびパッチ署名証明書は、SUNWcert パッケージに収められています。
この 3 つの証明書により、Sun ルート CA 証明書から Class B CA 証明書、Class B CA 証明書からパッチ管理証明書にさかのぼってパッチの信頼性を検証する「認証チェーン」が構成されます。最終的に、Sun のルート CA は、GTE CyberTrust CA によって認証されます。
Sun の証明書は、先頃 GTE CyberTrust を買収した Baltimore Technologies によって発行されています。
証明書発行局は、パッチのデジタル署名の復号に使用される公開鍵と、こうした公開鍵の所有者の関係を認証します。
Sun CA プロセスには次のような意味があります。
Sun がデジタル証明書を発行し、認証する。
Sun 所有の秘密鍵で、証明書内の公開鍵のペアが作成される。
これらの証明書はもっぱらビジネスの目的で使用される。証明書ユーザーが Sun の証明書ポリシーに違反した場合、その証明書は廃棄されるか、一時的に無効になる。
Sun の証明書ポリシーの詳細については、http://www.sun.com/pki/cps.html を参照してください。
Sun のルート証明書または Class B 証明書が盗難などによって紛失した場合、http://www.sun.com/pki/ca/pkismica.crl.html に廃棄された証明書のリストが送信されます。
このサイトで、インポートされている証明書が有効であるかどうかを定期的に確認することをお勧めします。インポートされている証明書が廃棄された場合は、キーストアから削除し、新しい証明書をインポートしてください。
署名付きパッチ証明書が廃棄された場合、該当する署名付きパッチが SunSolve の Web サイトから削除され、代わりに新しいデジタル署名付きパッチが配置されます。
Sun のすべてのユーザーは、SunSolve OnlineSM の Web サイトからパッチにアクセスできます。次の表に、Solaris パッチにアクセスするためのさまざまな方法を示します。
表 24–1 パッチにアクセスする方法
Solaris パッチには、Web サイトから、または匿名 ftp サービスを利用してアクセスできます。
Web サイトからパッチにアクセスする場合は、システムが次の要件を満たしている必要があります。
インターネットに接続されている
NetscapeTM などの Web ブラウザを実行できる
匿名 ftp を使用してパッチにアクセスする場合は、システムが次の要件を満たしている必要があります。
インターネットに接続されている
ftp プログラムを実行できる
次の URL を使って、SunSolve OnlineSM の Web サイトからパッチにアクセスします。
http://sunsolve.Sun.COM/pub-cgi/show.pl?target=patches/patch-access |
推奨されるいくつかのパッチからなるパッチクラスタをインストールすることも、自由に使用できる個々のパッチをインストールすることもできます。パッチレポートも入手できます。
パッチは、固有の英数字文字列によって識別されます。これは、パッチのベース番号、ハイフン (-)、パッチの改訂バージョン番号の順で構成されています。たとえば、パッチ 108528-10 は SunOS 5.8 カーネル更新用パッチの「パッチ ID」です。
次の表に、Solaris パッチの管理機能の概要を示します。
機能 |
patchadd/patchrm コマンド |
Solaris 2.6、7、および 8 のパッチ管理ツール |
Solaris 9 のパッチ管理ツール |
PatchPro Interactive または PatchPro Expert |
---|---|---|---|---|
入手方法 |
Solaris リリースに付属 (SUNWswmt) |
http://www.sun.com/PatchPro からダウンロードする必要あり |
http://www.sun.com/PatchPro からダウンロードする必要あり |
http://www.sun.com/PatchPro からツールを実行 |
利用できる Solaris リリース |
Solaris 2.6、7、8、9 |
Solaris 2.6、7、8 |
Solaris 9 |
Solaris 2.6、7、8、9 |
署名付きパッチの追加 |
可 * |
可。署名付きパッチはダウンロード時に自動的に検証される |
可。署名付きパッチはダウンロード時に自動的に検証される |
不可 |
署名なしパッチの追加 |
可 |
不可 |
可 |
可 |
GUI |
なし |
なし |
あり |
なし |
システムごとに必要なパッチを分析し、署名付きまたは署名なしパッチをダウンロードする機能 |
なし |
あり。署名付きパッチ、署名なしパッチの両方をダウンロード |
あり。署名付きパッチ、署名なしパッチの両方をダウンロード |
あり。署名なしパッチのみダウンロード |
ローカル / リモートのシステムパッチサポート |
ローカル |
ローカル |
ローカルおよびリモート |
なし |
RBAC サポート |
なし |
なし |
あり |
なし |
* patchadd コマンドで署名付きパッチを展開し、システムに追加することができますが、デジタル署名は失われます。署名付きパッチを手動で検証し、patchadd コマンドで追加する方法については、http://sunsolve.Sun.COM/patches/spag.pdf を参照してください。
パッチのインストール方法とバックアウト方法の詳細については、patchadd(1M) および patchrm(1M) のマニュアルページを参照してください。各パッチには、パッチ情報が記載されている README ファイルも含まれています。
Solaris 2.6、7、および 8 を実行するシステム上の署名付きパッチを管理するには、Solaris Patch Manager Base バージョン 1.0 (smpatch コマンド) を使用します。Solaris 9 を実行するシステム上の署名付きパッチを管理するには、smpatch コマンドと PatchPro 2.1 を併用します。
どちらのパッチツールにも、次の機能があります。
必要なパッチを調べ、ローカルシステムに署名付きパッチをダウンロードする。PatchPro Expert と同様に、 /etc/patchpro_hdw.conf ファイルの内容からインストールされているハードウェアを特定する。どちらのツールも、この機能以外は完全に独立している。
JAR 形式の署名付きパッチを 1 つ以上適用することにより、追加するパッチ (1 つまたは複数) を認証する。
1 つ以上のパッチを削除することにより、パッチ (1 つまたは複数) を削除する前にその依存関係を検査する。
デフォルトパッチポリシーを設定することにより、clientroot、clientusr 、rebootafter、 standard をはじめとする多種多様なパッチをインストールできる。
Solaris 9 リリースにアップグレードすると、自動的に最新バージョンの smpatch コマンドを使用できるようになる。
patchadd コマンドは、Solaris 2.6、7、8、および 9 を実行するシステムに署名なしパッチを追加する場合にも使用できます。Patch Manager Base バージョン 1.0 は、この目的では使用できません。
Solaris 2.6、7、および 8 の署名付きパッチツールには、次の制限が課されています。
代替ブート環境やディスクレスクライアントには、署名付きパッチをインストールできない。
デジタル署名のないパッチはインストールできない。
rebootimmediate、reconfigimmediate、または nonconforming 属性を持つパッチはインストールできない。
パッチ管理ツールをインストールすると、ツールの実行に必要な複数の Solaris パッケージ (Java パッケージなど) がシステムに追加されます。パッチツールのインストール前にインストールしておかなければならないパッケージもあります。該当するパッケージは、次のとおりです。
Solaris 2.6 リリース – Core クラスタと、SUNWmfrun、SUNWlibC、および SUNWxcu4 パッケージ
Solaris 7 および 8 リリース – Core クラスタと、SUNWmfrun および SUNWlibC パッケージ
Solaris 9 リリース – Solaris 管理コンソールのパッチツールと PatchPro 2.1 を使用する場合は開発者クラスタ (SUNWprog) が必須
システムに必要な Solaris パッケージがインストールされているかどうかを検証する方法については、署名付きパッチツールのパッケージ要件を確認する方法を参照してください。
Solaris パッチ管理ツールは、次の URL からダウンロードできます。
使用している Solaris リリースのリンクをたどり、適切な tar ファイルを選択してください。
パッチ管理ツールのインストールが完了したら、システムに署名付きまたは署名なしパッチをダウンロードし、追加できます。これには、複数の方法が存在します。次の表を参考にして、現在の要件にもっとも適した方法を選択してください。
コマンドまたはツール |
説明 |
参照先 |
---|---|---|
smpatch update |
必要なパッチを特定する。これらのパッチのダウンロードと追加は自動的に行われる |
smpatch(1M) |
smpatch analyze |
現在のシステムに必要なパッチを特定し、パッチ ID を一覧表示する。これらのパッチをシステムにダウンロードし、追加するには、smpatch download および smpatch add コマンドを使用する |
smpatch(1M) |
smpatch download および smpatch add |
システムにパッチ (1 つまたは複数) をダウンロードし、追加する。これらのコマンドで、必須パッチのダウンロードおよび追加も可能 | |
ftp および smpatch add |
ftp コマンドで、システムにパッチ (1 つまたは複数) を転送する。次に、smpatch add コマンドで、システムにパッチを追加する | |
Solaris 管理コンソールのパッチツール |
Solaris 9 システムのみ – GUI 機能を使って署名付きパッチを管理したい場合にのみ、このツールを使用する |
Solaris 管理コンソールのオンラインヘルプ |