よくある質問

以下の質問と回答を参考にして、BigFix Patch for Debian の理解を深めます。

エンドポイントにインストールされているすべてのパッケージの最新バージョンをインストールするときに使用できるサポート Fixlet はどれですか?

システム/エンドポイントにインストールされているすべてのパッケージの最新バージョンをインストールするには、「Run `dist-upgrade` to install and intelligently handle dependencies of new packages」サポート Fixlet を使用できます。apt-get dist-upgrade コマンドは、システムに現在インストールされているすべてのパッケージの最新バージョンを、「apt」に定義されているソースからインストールします。このコマンドは依存関係の変更をインテリジェントに処理しようとします。

どのサポート Fixlet を使用すれば、ベンダー・リポジトリーから入手可能なすべてのセキュリティー更新をインストールできますか?

「Install all available updates from the vendor security repository (amd64)」サポート Fixlet を使用すると、ベンダー・リポジトリーからすべてのセキュリティー更新をインストールできます。この Fixlet は、ベンダー・セキュリティー・パッケージ・リポジトリーから入手可能なすべての更新のリストを取得し、システム/エンドポイントにインストールします。

未指定の Fixlet とは何ですか ? なぜそれがが必要ですか ?

未指定の Fixlet は、Debian のセキュリティー・リポジトリーにあり、セキュリティー通知 (DSA) が関連付けられていないパッケージ用です。Debian がリリースするすべてのセキュリティー・パッケージに DSA が関連付けられているわけではなく、未指定の Fixlet はそのようなパッケージを対象とします。

パッケージを検索してダウンロードできる場所はどこですか?

現在のバージョンのパッケージは、Debian web サイト (https://www.debian.org/security/) から入手してダウンロードできますが、前のバージョンは Debian のスナップショット (http://snapshot.debian.org) にあります。https://www.debian.org/distrib/packages でパッケージを検索することもできます。

知っておくべきその他の Debian リソースはありますか?

以下に、参考となるリソースをいくつか示します。

• Debian web サイト: https://www.debian.org/security/
• メール・リスト: https://lists.debian.org/debian-security-announce/
• Debian スナップショット: http://snapshot.debian.org/
• 検索パッケージ: https://www.debian.org/distrib/packages
• Debian セキュリティー・リポジトリー・ホスト: http://security.debian.org
• セキュリティー・バグ・トラッカー: https://security-tracker.debian.org/tracker/

パッチのインストールに失敗した場合は、どうすればよいでしょう。

正しいコンピューターにパッチを適用したことを確認してください。また、以下のログも確認してください。

• /var/opt/BESClient/__BESData/__Global/Logs/<YYYYMMDD>.log
• /var/opt/BESClient/EDRDeployData/EDR_DeploymentResults.txt

デバッグのために、 -n 待機後にアクション・スクリプトの最後の行に /bin/bash "{parameter "cwd"}/InstallPackages.sh" を追加できます。

-n フラグは、以下のファイルのクリーンアップを無効にします。

• /var/opt/BESClient/EDRDeployData/EDR_RepoData.txt
• /var/opt/BESClient/EDRDeployData/EDR_PackageList.txt
• /var/opt/BESClient/EDRDeployData/EDR_ResolverOutput.log
• /var/opt/BESClient/EDRDeployData/EDR_ResolverError.log
• /var/opt/BESClient/__BESData/Patches for Debian 7/apt

これらの追加ファイルは、パッチ適用のコンテキスト情報を提供し、障害の調査に役立ちます。

置き換えられるパッチとは何ですか?

置き換えられる Fixlet とは、古いパッケージが含まれた Fixlet のことです。Fixlet が置き換えられると、新しいバージョンのパッケージが含まれた新規 Fixlet が存在するようになります。新規 Fixlet の ID は、置き換えられた Fixlet の説明で確認できます。

Debian パッケージがアップグレード可能かどうかはどのように確認できますか?

最初に、Debian パッケージがアップグレード可能であるかどうかを判別する rpm パッケージである、apt-show-versions をインストールする必要があります。

1. apt-show-versions をインストールするには、apt-get install apt-show-versions と入力します。
2. アップグレード可能なパッケージのみのリストを取得するには、apt-show-versions -u | less と入力します。apt-show-versions -u | grep "apache" のように grep を使用することもできます。

特定のパッケージをアップグレードするにはどうすればよいですか?

パッケージ名を指定する必要があります。たとえば、apache-perl パッケージをアップグレードする場合は、次のコマンドを入力します。apt-get install apache-perl。このコマンドは、システム全体ではなく、単一のパッケージのみをアップグレードする場合に便利です。

クライアント・ログに、Fixlet が正常に完了しないプリフェッチ・プラグイン・エラーが表示されています。エラーの原因は何でしょうか。どうすればよいでしょう。

エンドポイントで実行されていた ActionScript がブラックリストに登録され、プリフェッチ・プラグインの問題が発生した可能性があります。

この問題を解決するには、BigFix クライアントを再始動してブラックリストをクリアしてください。スクリプトがブラックリストに追加されないようにするには、パッチが依存関係をインストールおよび解決するのに十分な時間で _BESClient_ActionManager_PrefetchPlugInTimeoutSeconds クライアント構成設定を設定します。このクライアント設定は、クライアントがスクリプトをブラックリストに登録する前に待機する時間を示します。パッチ・サポート・サイトで使用できる「プリフェッチ・プラグインのタイムアウトの変更 (Change Timeout for Prefetch Plugins)」タスクを使用して、この設定を 30 分 (1800 秒) に設定できます。

_BESClient_ActionManager_PrefetchPlugInTimeoutSeconds 設定は、エンドポイントおよびインストール中の Fixlet によって異なります。最適な値を求めるには、最も遅いエンドポイントで設定を 3,000 秒などの高い値に設定し、大きな Fixlet を実行して所要時間を確認します。その時間に 2 を乗算した値を使用できます。あるいは、推奨値ではうまくいかない場合は、クライアント設定を 600 秒に設定し、適宜調整していきます。