בדף הזה יש סקירה כללית על ניהול מלאי של מערכות הפעלה. מידע על הגדרה ושימוש בניהול מלאי של מערכות הפעלה זמין במאמר הצגת פרטים של מערכות הפעלה.
אפשר להשתמש בניהול מלאי מערכות הפעלה כדי לאסוף ולראות פרטים של מערכות הפעלה במכונות וירטואליות (VM). פרטי מערכת ההפעלה האלה כוללים מידע כמו שם המארח, מערכת ההפעלה וגרסת הליבה. אפשר גם לקבל מידע על חבילות OS שהותקנו, על עדכונים זמינים לחבילות OS, על אפליקציות Windows ועל נקודות חולשה ב-OS.
מתי כדאי להשתמש בניהול מלאי שטחי פרסום במערכת הפעלה
אפשר להשתמש בניהול מלאי של מערכת הפעלה כדי לבצע את המשימות הבאות:
- זיהוי מכונות וירטואליות שמופעלת בהן גרסה ספציפית של מערכת הפעלה
- הצגת חבילות של מערכות הפעלה שמותקנות במכונה וירטואלית
- יצירת רשימה של עדכוני חבילות של מערכת הפעלה שזמינים לכל מכונה וירטואלית
- זיהוי חבילות, עדכונים או תיקונים חסרים של מערכת ההפעלה במכונת VM
- הצגת דוחות על נקודות חולשה במכונה וירטואלית
איך פועל ניהול מלאי שטחי פרסום במערכת הפעלה
כשניהול מלאי מערכת ההפעלה מופעל, סוכן OS Config מריץ סריקת מלאי כדי לאסוף נתונים, ואז שולח את המידע הזה לשרת המטא-נתונים, ל-OS Config API ולזרמי יומן שונים. הסריקה הזו מופעלת כל 10 דקות במכונה הווירטואלית.
כדי להפעיל את ניהול מלאי מערכות ההפעלה, צריך להגדיר את VM Manager במכונה הווירטואלית. מידע נוסף מופיע במאמר בנושא הגדרת VM Manager.
אחרי שמגדירים את VM Manager, אפשר לשלוח שאילתה ל-API של guest attributes או ל-OS Config API כדי לאחזר מידע על מערכת ההפעלה שפועלת במכונת VM. איך צופים בפרטים של מערכת הפעלה
איך נאספים הנתונים של מערכת ההפעלה
במכונות וירטואליות עם Linux, סוכן OS Config פועל במכונה הווירטואלית ומנתח את /etc/os-release או את הקובץ המקביל להפצת Linux כדי לאסוף פרטים על מערכת ההפעלה. הסוכן של OS Config משתמש גם במנהלי חבילות כמו apt, yum או GooGet כדי לאסוף מידע על החבילות המותקנות ועל העדכונים שזמינים למופע.
במכונות וירטואליות של Windows, סוכן OS Config משתמש בממשקי ה-API של מערכת Windows כדי לאסוף את פרטי המידע של מערכת ההפעלה. הסוכן של Windows Update משמש גם כדי למצוא את העדכונים המותקנים והזמינים.
איפה נשמרים הנתונים של מערכת ההפעלה
נתוני המלאי מאוחסנים ב-OS Config API. התוכן של החבילות המותקנות ועדכוני החבילות נדחס באמצעות gzip כדי לחסוך במקום, ואז מקודד ב-base64.
רישום ביומן
במהלך האיסוף והאחסון של הנתונים, סוכן OS Config כותב יומני פעילות למקורות שונים של יומנים ב-Compute Engine. למשל:
- היציאה הטורית
- יומני מערכת – יומן האירועים של Windows ו-syslog של Linux
- זרמים רגילים – stdout
- יומנים של Cloud Logging – היומנים האלה זמינים רק אם Cloud Logging מופעל במכונת ה-VM.
המידע שמתקבל מניהול מלאי שטחי פרסום ב-OS
ניהול מלאי מערכות הפעלה יכול לספק את המידע הבא על מערכת ההפעלה שפועלת במכונה הווירטואלית:
- שם המארח
- LongName – השם המפורט של מערכת ההפעלה. לדוגמה,
Microsoft Windows Server 2016 Datacenter. - ShortName – הצורה הקצרה של שם מערכת ההפעלה. לדוגמה,
Windows. - גרסת ליבה
- ארכיטקטורת מערכת ההפעלה
- גרסת OS
- הגרסה של סוכן OS Config
- העדכון האחרון – חותמת זמן של הפעם האחרונה שבה הסוכן סרק בהצלחה את המערכת ועדכן את מאפייני האורח עם נתוני מלאי מערכת ההפעלה.
מידע על חבילת מערכת ההפעלה ועל האפליקציה שהותקנו
בטבלה הבאה מופיע סיכום של המידע שמתקבל מניהול מלאי מערכות הפעלה לגבי חבילות של מערכות הפעלה שהותקנו במכונות וירטואליות של Linux ו-Windows. היא גם מתארת את המידע שזמין לאפליקציות שפועלות ב-Windows.
| מערכת הפעלה | מערכות ניהול חבילות | השדות הזמינים |
|---|---|---|
| Linux ו-Windows Server | פרטים על חבילות מותקנות זמינים במנהלי החבילות הבאים:
|
לכל חבילה מותקנת מוצגים הפרטים הבאים:
|
| Windows Server | סוכן עדכון Windows | השדות הבאים מפורטים בעדכוני Windows:
|
| Windows Server | עדכוני הנדסה לתיקון מהיר ב-Windows | השדות הבאים מופיעים בעדכוני QuickFixEngineering
|
| Windows Server | Windows Installer 2 | השדות הבאים מופיעים בWindows Installer:
|
1השדה הזה מוסתר בפלט של שורת הפקודה gcloud compute instances os-inventory describe כברירת מחדל.
כדי לראות את השדה הזה, צריך להציג את הפלט בפורמט JSON. כדי לראות את הפלט בפורמט JSON, מוסיפים את --format=JSON לפקודה gcloud. מידע נוסף על פורמט הפלט זמין במאמר gcloud topic formats.
2כדי להציג את מאפייני ההתקנה של אפליקציות Windows, צריך את סוכן OS Config בגרסה 20210811 ואילך. כדי לראות את גרסת הסוכן, אפשר לעיין במאמר בנושא הצגת גרסת הסוכן של OS Config.
מידע על עדכון חבילת מערכת הפעלה זמין
בטבלה הבאה מפורט מידע על העדכונים שמתקבלים מניהול מלאי מערכות ההפעלה לגבי חבילות של מערכות הפעלה מותקנות.
| מערכת הפעלה | מערכות ניהול חבילות | השדות הזמינים |
|---|---|---|
| Linux ו-Windows Server | מידע על עדכוני חבילות זמין במנהלי החבילות הבאים:
|
לכל עדכון חבילה שזמין, מופיעים הפרטים הבאים:
|
| Windows Server | סוכן עדכון Windows | השדות הבאים מפורטים בעדכוני Windows:
|
1השדה הזה מוסתר בפלט של שורת הפקודה gcloud compute instances os-inventory describe כברירת מחדל.
כדי לראות את השדה הזה, צריך להציג את הפלט בפורמט JSON. כדי לראות את הפלט בפורמט JSON, מוסיפים את --format=JSON לפקודה gcloud. מידע נוסף על פורמט הפלט זמין במאמר gcloud topic formats.
דוחות על נקודות חולשה
פגיעויות בתוכנה הן נקודות חולשה שיכולות לגרום לכשל מערכת מקרי או להוביל לפעילות זדונית. במכונות וירטואליות, פגיעות יכולה להיות בעיה בקוד או בלוגיקה של הפעולה של חבילות מערכת הפעלה או של אפליקציות תוכנה.
פגיעויות שמשויכות לחבילות של מערכת ההפעלה המותקנת מאוחסנות בדרך כלל במאגר של מקורות פגיעות. מידע נוסף על מקורות נקודות החולשה האלה זמין במאמר מקורות נקודות חולשה. אתם יכולים להשתמש בניהול מלאי של מערכת ההפעלה כדי לראות דוחות פגיעות בנוגע לבעיות בחבילות של מערכת ההפעלה שהותקנו.
כדי לקבל נתוני פגיעויות של מכונה וירטואלית, צריך להגדיר את VM Manager, וסוכן OS Config מגרסה מתאריך 20201110 ואילך צריך לפעול במכונה הווירטואלית. מידע נוסף על הגדרת VM Manager
אחרי שמגדירים את הסוכן OS Config ומדווחים על מלאי, שירות OS Config API סורק ובודק באופן רציף את מקור נקודות החולשה של מערכת ההפעלה מול נתוני המלאי הזמינים. כשמזוהה נקודת חולשה בחבילות של מערכת ההפעלה, השירות יוצר דוח נקודות חולשה. הדוחות האלה נוצרים באופן הבא:
- כשחבילה מותקנת או מתעדכנת במערכת ההפעלה של מכונה וירטואלית, אפשר לצפות לראות מידע על חולשות וחשיפות נפוצות (CVE) לגבי המכונה הווירטואלית ב-VM Manager, ב-Security Command Center וב-מאגר משאבי ענן תוך שעתיים אחרי השינוי.
- כשמתפרסמים עדכוני אבטחה חדשים למערכת הפעלה, בדרך כלל אפשר למצוא עדכוני CVE תוך 24 שעות אחרי שספק מערכת ההפעלה מפרסם את העדכון.
כדי לראות את דוחות נקודות החולשה, אפשר לעיין במאמר בנושא הצגת דוחות נקודות חולשה.
איך נוצרים דוחות על נקודות חולשה
VM Manager מבצע מעת לעת את המשימות הבאות:
- קריאת הדוחות שנאספים מנתוני מלאי של מערכת הפעלה במכונה וירטואלית.
- הסריקות מתבצעות לפחות פעם ביום, והן בודקות את מקור הפגיעות כדי למצוא נתוני סיווג לכל מערכת הפעלה. הנתונים האלה מסודרים לפי חומרת הפגיעות (מהחמורה ביותר ועד הקלה ביותר).
- הנתונים של CVE עבור מכונה וירטואלית מוצגים במסוף Google Cloud . אפשר גם לראות את דוחות הפגיעות באמצעות Security Command Center או מאגר משאבי ענן.
מקורות של נקודות חולשה
בטבלה הבאה מפורט סיכום של מקור נקודת החולשה שמשמש לכל מערכת הפעלה. רשימה מלאה של מערכות ההפעלה הנתמכות והגרסאות שלהן מופיעה בפרטים על מערכות ההפעלה.
| מערכת הפעלה | חבילת מקור של פגיעות |
|---|---|
| RHEL ו-CentOS | https://access.redhat.com/security/data |
| Debian | https://security-tracker.debian.org/tracker |
| Ubuntu | https://launchpad.net/ubuntu-cve-tracker |
| SLES | https://ftp.suse.com/pub/projects/security/oval/ |
| Rocky Linux | https://errata.rockylinux.org/ |
| Windows | נתוני נקודות חולשה שפורסמו על ידי Microsoft Security Response Center. |
שמירת נתונים
נתוני מלאי מערכת ההפעלה ודוח נקודות החולשה נשמרים עד למחיקת המכונה הווירטואלית. עם זאת, אם מסיבה כלשהי הסוכן של OS Config מפסיק לדווח לשירות ה-API של OS Config למשך כמה ימים, VM Manager מוחק את נתוני המלאי הזמינים של מערכת ההפעלה ואת דוח הפגיעויות שנאספו עד לאותה נקודה. לא יהיו נתונים זמינים למכונה הווירטואלית עד שהסוכן של OS Config יתחיל לפעול שוב.
תמחור
מידע על התמחור זמין במחירון של VM Manager.
מגבלות
ההגבלה הבאה חלה על ניהול מלאי מערכות הפעלה:
- VM Manager מספק תוצאות של סריקת נקודות חולשה עבור RHEL על סמך הגרסה המשנית האחרונה של כל גרסה ראשית שפורסמה. אם במכונה הווירטואלית שלכם פועלת גרסה משנית ישנה יותר של RHEL, יכול להיות שתקבלו תוצאות לא מדויקות בדוחות הפגיעות.
המאמרים הבאים
- אפשר להשתמש בכלי לניהול מלאי מערכות הפעלה כדי לראות את הפרטים של מערכת ההפעלה.