非抽出使用

エアー・ギャップ・コマンド・ライン・インターフェースは、BigFix サーバーにアクセスする必要なしにサイト情報を収集でき、オプションでダウンロード・キャッシャーを経由せずにファイルをダウンロードできます。

非抽出使用では、エアー・ギャップ・ツールは、認証する必要のない Windows などのダウンロード・サイトから Fixlet で指定されたファイルをダウンロードできます。ユーザー ID およびパスワードで認証する必要があるサイトからファイルをダウンロードする必要がある場合、または Fixlet のプリフェッチ・コマンドやダウンロード・コマンドで指定されていないファイルをダウンロードする必要がある場合 (AIX、CentOS、HP-UX、RedHat、Solaris、または SUSE のパッチ・モジュールの場合など) は、ダウンロード・キャッシャーを使用する必要があります。

BigFix サーバーにアクセスせずにサイト情報を収集するには、以下のステップを実行します。

1. サイト・リストを作成します

パブリック・インターネットにアクセスできるワークステーションで、ライセンスのシリアル番号、ライセンスの登録に使用した E メール・アドレス、およびツールによってライセンスの対象のサイトがリストされたファイルの名前を指定して、ツールを実行します。エアー・ギャップ・ツールが配置されているフォルダーに対する書き込み権限が必要です。次のコマンドを入力します。

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -serial serial_number -email 
mail_address -createSiteList site_list_filename [-proxy
[user:password@]hostname:port] [-usehttps] 
[-cacert crt_filename] [-othersites site_foldername] [-timeout timeout_seconds]

Linux オペレーティング・システムの場合:

./Airgap.sh -serial serial_number -email 
mail_address -createSiteList site_list_filename [-proxy
[user:password@]hostname:port] [-usehttps] 
[-cacert crt_filename] [-othersites site_foldername] [-timeout timeout_seconds]

各表記の意味は次のとおりです。

mail_address

ライセンスで指定したメール・アドレスです。一致しない場合、エアー・ギャップ・ツールは失敗します。オプション -email は、オプション -createSiteList と一緒の場合のみ使用できます。

-proxy

パブリック・インターネットにアクセスできるワークステーションがプロキシー・サーバー経由でのみ接続できる場合に使用されるオプションです。この場合、-proxy オプションの後にプロキシー・サーバーのホスト名およびポートを hostname:port 形式で指定します。プロキシーが認証プロキシーである場合は、ユーザー ID およびパスワードも userid:password@hostname:port 形式で追加してください。

-usehttps

このオプションが指定された場合、ライセンス・サーバーと通信するために「https」が使用されます。エアー・ギャップ・ツールの実行場所とは別のフォルダーを使用する場合は、オプション -cacert を使用してファイル ca-bundle.crt を保管するパスを指定します。-usehttps オプションを使用する場合、または Fixlet 内で URL が「https」で始まっている場合、サーバー証明書を検証するためにファイル ca-bundle.crt が使用されます。

-cacert

このオプションは、オプション -usehttps と一緒の場合のみ使用できます。

-othersites

ご使用のライセンスで AllowOtherSites の使用が許諾されている場合は、このオプションを使用して任意のサイトをサイト・リストに含めます。サイト・リストを作成する場合は、フォルダーを作成して、ライセンスに含まれていないマストヘッドに関連するマストヘッド・ファイル (*.efxm ファイル) をすべてそのフォルダーにコピーし、このフォルダーの名前とオプション -othersites を指定します。

-timeout

このオプションは、V9.5.7 から使用可能になりました。これは、http タイムアウト間隔を秒単位で指定します。値は 30 から 3600 までの範囲です。デフォルト値は 30 です。プロキシーの使用中にエラー「HTTP エラー 28: タイムアウトに達しました」が発生する場合は、オプション -usehttps も使用してみてください。こうすると、プロキシーはトンネリング・モードで作動して、タイムアウトの回避に役立つ可能性があるためです。

ツールの実行後、site_list_filename に指定した名前でファイルが作成されます。

注: 作成されたサイト・リスト・ファイルは、ライセンスを変更するまで、または HCL が既存のライセンスに新規サイトを追加するまで使用できます。何らかの理由でサイト・リスト・ファイルを削除しても、ライセンスのシリアル番号が変更されない限り、ダウンロードしたファイルの履歴が維持されるため、同じコマンドでファイルを再作成することができます。

2. サイト・リスト・ファイルを編集します

ステップ 1 で作成されたファイルの各行には、以下のように 3 つの情報が 2 つのコロンで区切られて入っています。

flag::site_name::site_url

flag パラメーターのみを編集でき、以下のいずれかの値を指定できます。

A

サイト・コンテンツは、より新しいサイト・バージョンが使用可能になったときに収集されて、AirgapResponse ファイルに保管され、ファイルのダウンロードまたはファイル・リストの作成に使用されます。

R

サイト・コンテンツは、サイトのバージョンに関係なく、常に収集されて AirgapResponse ファイルに保管され、ファイルのダウンロードに使用されます。

G

サイト・コンテンツは、より新しいサイト・バージョンが使用可能になったときに収集されて、AirgapResponse ファイルに保管されますが、ファイルのダウンロードにもファイル・リストの作成にも使用されません。

Q

サイト・コンテンツは、サイトのバージョンに関係なく、常に収集されて AirgapResponse ファイルに保管されますが、ファイルのダウンロードにもファイル・リストの作成にも使用されません。

D

サイト・コンテンツは収集されませんが、ファイルのダウンロードまたはファイル・リストの作成に使用されます。このフラグは、サイトの現在のコンテンツを更新せずに維持した状態で、ファイルをダウンロードして現行のサイトで Fixlet を実行する場合に有用です。このオプションは、サイト・コンテンツが既に収集されている場合にのみ有効です。

N

サイトは無視されますが、サイト情報は今後参照できるようにファイル内に保持されます。

注: サイト・リスト・ファイルを作成する際、BES サポートおよび Web UI Common のコンポーネントのデフォルト値は G に設定されています。Web UI コンポーネントが必要でない場合は、デフォルトの Web UI Common 値を G から N に変更してください。その他のコンポーネントのデフォルト値は N に設定されています。BigFix サーバーをインストールした後、初回実行時に、ライセンス情報、BES サポートおよび Web UI Common のコンポーネントが収集される必要があります。パブリック・インターネットにアクセスできるワークステーションで生成されたこの最初のエアー・ギャップ応答を BigFix サーバーに移動した後でのみ、コンソールの「ライセンスの概要」ダッシュボードからアクセスできる他のコンポーネントを有効にして、プロセスを続行することができます。収集する前に、デフォルト以外の必要なコンポーネントを必ず有効にしてください。

3. サイト・コンテンツを収集してエアー・ギャップ応答ファイルを作成します

サイト・リスト・ファイルでフラグを編集した後、エアー・ギャップ・ツールを再び実行して、以下のいずれかのサイト操作を実行します。

a. サイト・コンテンツの収集

フラグ A、R、G、または Q が指定されたサイトのサイト・コンテンツを収集するには、以下のコマンドを実行します。

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -site site_list_filename

Linux オペレーティング・システムの場合:

./Airgap.sh -site site_list_filename

完了時に、Airgapresponse ファイルが作成されます。

b. サイト・コンテンツの収集およびファイルのダウンロード

フラグ A、R、G、または Q が指定されたサイトのサイト・コンテンツを収集し、フラグ A、R、または D が指定されたサイト上の Fixlet によって参照されているファイルをダウンロードするには、以下のコマンドを実行します。

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -site site_list_filename -download 
[-cache cache_name]

Linux オペレーティング・システムの場合:

./Airgap.sh -site site_list_filename -download 
[-cache cache_name]

ここで、cache_name は、ダウンロードしたファイルを保管するフォルダー・パスです。完了時に、Airgapresponse ファイルが作成され、ファイルが cache_name フォルダーにダウンロードされます。

c. サイト・コンテンツの収集およびファイルの選択的なダウンロード

フラグ A、R、G、または Q が指定されたサイトのサイト・コンテンツを収集し、フラグ A、R、または D が指定されたサイト上の Fixlet によって参照されているファイルのリストを作成するには、以下のコマンドを実行します。

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -site site_list_filename 
-createFileList referenced_list

Linux オペレーティング・システムの場合:

./Airgap.sh -site site_list_filename 
-createFileList referenced_list

完了時に、Airgapresponse ファイル、および referenced_list で指定された名前のファイル・リストが作成されます。

いずれの場合も、フラグ A、R、G、または Q が指定されたサイトで収集されたサイト・コンテンツは AirgapResponse ファイル内に配置されます。エアー・ギャップ・ツールを初めて実行する際、フラグ A、R、G、または Q が指定されたすべてのサイトが収集されます。それ以降は、フラグ A または G が指定されたサイトのコンテンツが以前に収集されていない場合、またはより新しいサイトのバージョンが使用可能になった場合に限り、それらのコンテンツが収集されます。フラグ R または Q が指定されたサイトのコンテンツは常に収集されます。

オプションで、以下のオプションも指定できます。

-usehttps

ライセンス情報およびサイト・コンテンツは「https」を使用して収集されます。『b. サイト・コンテンツの収集およびファイルのダウンロード』の場合、「http」で始まるすべての URL で強制的に「https」が使用されます。Fixlet 内の一部の URL が「https」で始まり、一部のパッチ・サイトが「https」で始まる URL に要求をリダイレクトする可能性があることに注意してください。

-proxy [user:password@]hostname:port

パブリック・インターネットにアクセスできるワークステーションがプロキシー・サーバー経由でのみ接続できる場合に使用されます。この場合、-proxy オプションの後にプロキシー・サーバーのホスト名およびポートを hostname:port 形式で指定します。プロキシーが認証プロキシーである場合は、ユーザー ID およびパスワードも userid:password@hostname:port 形式で追加してください。

-cacert crt_filename

エアー・ギャップ・ツールの実行場所とは別のフォルダーを使用する場合は、ファイル ca-bundle.crt を保管するパスを指定します。-usehttps オプションを使用する場合、または Fixlet 内で URL が「https」で始まっている場合、サーバー証明書を検証するためにファイル ca-bundle.crt が使用されます。オプション -cacert はオプション -usehttps と一緒の場合のみ使用できます。

-timeout timeout_seconds

このオプションは、V9.5.7 から使用可能になりました。これは、http タイムアウト間隔を秒単位で指定します。値は 30 から 3600 までの範囲です。デフォルト値は 30 です。プロキシーの使用中にエラー「HTTP エラー 28: タイムアウトに達しました」が発生する場合は、オプション -usehttps も使用してみてください。こうすると、プロキシーはトンネリング・モードで作動して、タイムアウトの回避に役立つ可能性があるためです。

b および c の場合は、ダウンロードするファイルまたはファイル・リストで収集するファイルの数を減らすために、他のオプションも使用できます。これらのフィルタリング・オプションは、ファイル自体ではなく、ファイルを参照する Fixlet を選択します。例えば、過去 5 日間を指定する場合、過去 5 日間にベンダーによって追加または変更されたファイルではなく、過去 5 日間に変更された Fixlet によって参照されているファイルを意味します。フィルタリング・オプションに使用できる値のリストを作成するには、以下のコマンドを実行します。

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -site site_list_filename -createfilterList 
filter_list

Linux オペレーティング・システムの場合:

./Airgap.sh -site site_list_filename -createfilterList 
filter_list

使用できる値のリストは、オプション -fcategory、-fcve、-fproduct、-fseverity、-fsource、および -fsourceid に制限されています。以下のオプションをフィルタリングに使用できます。

-fcategory

Fixlet カテゴリーのプロパティー。

-fcve

セキュリティー・パッチに関連付けられている CVE (共通脆弱性と暴露) ID を指定します。

-fdays

最終変更日がコマンドの実行日から指定された日数以内にある Fixlet を選択します。

-fproduct

Fixlet を適用できる製品名を指定します (Win2008 や Win7 など)。この情報はコンソールには表示されません。このオプションは、Windows オペレーティング・システムのパッチに関連したサイトでのみ使用できます。

-fseverity

ベンダーがセキュリティー・パッチに関連付ける重大度を指定します。

-fsource

ファイルのプロバイダー (BigFix、Adobe、または Microsoft など)。

-fsourceid

プロバイダーによって指定された ID。

-includeCorrupt

このオプションが指定されない場合はデフォルトで除外される、「破損」のマークが付けられた Fixlet を組み込みます。

-includeSuperseded

このオプションが指定されない場合はデフォルトで除外される、「置き換え済み」のマークが付けられた Fixlet を組み込みます。

複数のフィルター条件が指定された場合、すべての条件を満たす Fixlet のみが選択されます。オプション -fsource、-fsourceid、-fcve、-fcategory、および-fseverity では、複数のコンマ区切り値を指定できます (例えば、-fseverity "Critical, Important". コンマを使用して値を区切る場合、または値にスペースが含まれている場合は、上記の例のように、パラメーターを二重引用符で囲んでください。値の大/小文字が区別されることに注意してください。

4. ファイル・リストを編集します

ステップ 3 の「c. サイト・コンテンツの収集およびファイルの選択的なダウンロード」にのみ適用されます。

-createFileList オプションにより、ファイルのリストが入ったファイルを作成できます。リストの各行には、以下のように情報が 2 つのコロンで区切られて入っています。

flag::site_name::Fixlet_id::site_url::
size::hash_value::hash algorithm

例:

N::site=site_name::fixletid=fixlet_id::
url=url_address::size=file_size::hash=hash_value::
hashtype=hash_type

flag 値のみを編集できます。ファイルをダウンロードする場合は Y に変更し、ファイルをダウンロードしない場合は N に変更します。

5. インターネット側のワークステーションでツールを実行してファイルをダウンロードします

ステップ 3 の「c. サイト・コンテンツの収集およびファイルの選択的なダウンロード」にのみ適用されます。

ステップ 4 でファイル・リストを編集した後、ファイル・リストでフラグ Y が指定されたファイルのみをダウンロードするには、以下のコマンドを発行してエアー・ギャップ・ツールを実行します。

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -file file_list_filename -download 
-cache cache_foldername 
[-proxy [user:password@]hostname:port] [-usehttps] 
[-cacert crt_filename]

Linux オペレーティング・システムの場合:

./Airgap.sh -file file_list_filename -download 
-cache cache_foldername 
[-proxy [user:password@]hostname:port] [-usehttps] 
[-cacert crt_filename]

ここで、cache_foldername は、ダウンロードしたファイルを保管するフォルダー・パスです。既にキャッシュ・フォルダー内にあるファイルが再びダウンロードされることはありません。

6. エアー・ギャップ応答ファイルを BigFix サーバーに移動して、BigFix サーバーでエアー・ギャップ・ツールを実行します

AirgapResponse ファイル、およびステップ 3 で作成したファイル・リストまたはステップ 5 で収集してダウンロードしたファイルをポータブル・ドライブにコピーして、それらを BigFix サーバー・コンピューターに転送します。AirgapResponse ファイルがエアー・ギャップ・ツールと同じフォルダーにあることを確認し、以下のコマンドを発行して実行します。

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -run [-temp temp_folder]

Linux オペレーティング・システムの場合:

./Airgap.sh -run [-temp temp_folder]

これにより、Fixlet コンテンツとライセンスの更新を持つ応答ファイルが現在の適用環境にインポートされます。

注: エアー・ギャップ・ツールは、BigFix サーバーの GatherDB コンポーネントにサイト・コンテンツを応答ファイルで渡します。GatherDB コンポーネントは、サイト・コンテンツをインポートします。WebUI サイト以外のサイトの場合、インポートの進行状況を GatherDB コンポーネントの DebugOut (デフォルトの名前は GatherDB.log) でモニターできます。

ダウンロードしたファイルを BigFix サーバーのキャッシュ・フォルダーにもコピーします。キャッシュ・フォルダーのデフォルトの場所は以下のとおりです。

Windows オペレーティング・システムの場合:

%PROGRAM FILES%\BigFix Enterprise\BES Server\wwwrootbes\bfmirror\downloads\sha1

Linux オペレーティング・システムの場合:

/var/opt/BESServer/wwwrootbes/bfmirror/downloads/sha1

上記のステップを定期的に繰り返して、メインの BigFix サーバーの Fixlet コンテンツが常に更新されるようにしてください。新しい Fixlet メーリング・リストに参加すると、Fixlet の更新時に通知を受け取ることができます。必ず、エアー・ギャップ・ツールのバージョンが、インストールされている BigFix サーバーのバージョンと互換性があることを確認してください。

オプションのアクション:

すべての必要なファイルがダウンロードされたことの確認

適用する予定の Fixlet に必要なすべてのファイルをダウンロードしたことを確認するには、エアー・ギャップ・ツールの実行時にオプション -checkfixlet を使用します。例:

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -site site_list.txt -checkfixlet 
-fdays 100 -fseverity Critical -cache MyCache

Linux オペレーティング・システムの場合:

./Airgap.sh -site site_list.txt -checkfixlet 
-fdays 100 -fseverity Critical -cache MyCache

指定されたフィルタリング条件を満たす Fixlet について、ツールは、ダウンロード履歴および宛先フォルダーの内容を検査します。ダウンロードすべきファイルがまだある場合は、Fixlet 名および URL が表示されます。

手動でダウンロードされるファイル

Fixlet によって参照される一部のファイルをダウンロードできない場合があります。それは、ベンダーのサポート・センターに連絡することでのみ取得可能であるため、またはダウンロード・サイトでライセンス条項を明示的に受け入れる必要があり、法律上の理由からそのアクションを自動化できないためです。このような場合、関与するファイルにストリング MANUAL_BES_CACHING_REQUIRED を含むダウンロード URL が指定されています。そのファイルは手動でダウンロードする必要があります。このようなファイルのリストを作成するには、次の例のようにオプション -createmanuallist を使用します。

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -site site_list.txt -createmanuallist 
manual_list -fseverity Critical

Linux オペレーティング・システムの場合:

./Airgap.sh -site site_list.txt -createmanuallist 
manual_list -fseverity Critical

手動でダウンロードする必要があるすべてのファイルが宛先フォルダーに入っているかどうかを確認するために、次の例のように -checkmanual オプションを使用することもできます。

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -site site_list.txt -checkmanual 
-fseverity Critical 
-fdays 30 -cache MyCache

Linux オペレーティング・システムの場合:

./Airgap.sh -site site_list.txt -checkmanual 
-fseverity Critical 
-fdays 30 -cache MyCache

履歴のリセット

エアー・ギャップ・ツールは、ダウンロードしたファイルの履歴を維持します。ダウンロードしたすべてのファイルをパブリック・インターネット側のワークステーションから BigFix サーバーに移動しても、この履歴は維持され、以前にダウンロードされたファイルが再びダウンロードされることはないため、時間とディスク・スペースを節約できます。以前にダウンロードしたファイルの一部またはすべてを削除した後で、再び必要になった場合は、-resync オプションを使用できます。このオプションは、ダウンロード履歴をクリアして、-cache オプションで指定されたフォルダー内のファイルを検査します。新しく作成されたダウンロード履歴が -cache オプションで指定されたフォルダーに含まれているファイルのみに基づいていることに注意してください。

ライセンスの変更

別のライセンスを管理する場合は、収集したサイトおよびダウンロードしたファイルの履歴を消去する必要があります。このアクションを実行するには、次の例のように -force オプションを使用します。

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -serial serial_number -email 
mail_addess -createSiteList site_list_filename -force

Linux オペレーティング・システムの場合:

./Airgap.sh -serial serial_number -email 
mail_addess -createSiteList site_list_filename -force

その他のオプション

デフォルトでは、エアー・ギャップ・ツールは 2 つのファイルを同時にダウンロードします。-download オプションの後に数字を指定することにより、同時にダウンロードするファイルの数を変更できます。この数字は 1 から 8 の範囲内にすることができます。例えば、3 つのファイルを同時にダウンロードするには、-download 3 と指定します。3 つ以上のファイルを同時にダウンロードする場合は、さらに大きな帯域幅が必要になることに注意してください。

Fixlet で指定されている URL が「https」で始まる場合、または -useHttps オプションを指定する場合、エアー・ギャップ・ツールは、URL で指定されたサーバーに適切な SSL サーバー証明書があることを検証しようとします。何らかの理由で、この検査をスキップして、エアー・ギャップ・ツールがサーバー証明書を検証できない場合のダウンロードの失敗を回避するには、-noverify オプションを使用します。このオプションを使用した場合、エアー・ギャップ・ツールはサーバー証明書の認証を確認しませんが、サーバー証明書が操作対象のURLで指定されたサーバー用であることを確認します。DNS を調べて、ワークステーションがホスト名を正しく変換していることを確認する必要があります。

エアー・ギャップ・ツールが通常よりも多くの情報を出力するようにするには、-verbose オプションを使用します。

複数の BigFix サーバーでの作業

テスト・サーバーと実動サーバーなど、複数の BigFix サーバーで同じパブリック・インターネット側のワークステーションを使用する場合は、エアー・ギャップ・ツールを各フォルダーにコピーして、各フォルダーで別々に作業します。別々のフォルダーで同じサイト・リストを共有できますが、各サーバーは独自の履歴をフォルダーで維持します。別々のサーバーで複数のエアー・ギャップ・ツールを使用する場合は、さまざまなサーバーに共通のファイルを 1 回のみダウンロードするためにキャッシュ・フォルダーを共有することもできますが、同時に実行されるエアー・ギャップ・ツールのインスタンスが 1 つのみであることを確認する必要があります。

サイトのセットを収集して、それらをテスト・サーバーにロードしてから、収集したサイトでテストを実行し、最新のサイトではなく、テストしたサイトを実動サーバーにロードする場合、複数の BigFix サーバーに同じ製品 (BigFix Lifecycle、BigFix Compliance など) のライセンスが提供されるときに、それらのサーバーに 1 つの AirgapResponse ファイルをロードすることができます。1 つの AirgapResponse ファイルを複数の BigFix サーバーにロードする場合、すべての BigFix サーバーで有効になっているサイトのみを収集することをお勧めします。

注: BigFix サーバーをインストールした後、初回実行時に、各インストール済み環境のライセンス情報、BES サポートおよび Web UI Common のコンポーネントが収集される必要があります。ライセンス情報はシリアル番号ごとに固有であるため、このステップでは、BigFix サーバーごとに AirgapResponse ファイルが作成される必要があります。

どのサイトでもバージョンを変更することなく、特定の BigFix サーバーのライセンス情報を更新する場合、行が含まれていないサイト・ファイル、またはすべてのサイトにフラグ N が指定されているサイト・ファイルを指定してエアー・ギャップ・ツールを実行することにより、ライセンス情報のみが入った AirgapResponse ファイルを作成できます。以下のコマンドを実行します。

Windows オペレーティング・システムの場合:

BESAirgapTool.exe -site empty_site_list_filename 
-allowemptysite

Linux オペレーティング・システムの場合:

./Airgap.sh -site empty_site_list_filename 
-allowemptysite

エアー・ギャップ環境での WebUI の有効化

エアー・ギャップ環境に WebUI をインストールするには、以下のステップを実行します。

1. 最新の BES サポートおよび WebUI Common のサイトを収集して、WebUI サービスのインストールに必要なファイルをダウンロードします。それらのファイルを BigFix サーバーにロードします。
2. BES サポート・サイトのタスク「HCL BigFix WebUI サービスのインストール」を使用して、WebUI サービスをインストールします。
3. インストールが完了した後、WebUI ターゲット・システムで WebUI サービス (Windows オペレーティング・システム) またはプロセス (Linux オペレーティング・システム) がアクティブ化されるまで待ちます。WebUI の初期化が開始されます。完了するまで待ちます。初期化は通常は数分間で完了しますが、30 分以上待ってからステップ 4 に進むことをお勧めします。
4. すべての最新の WebUI サイトを収集して、BigFix サーバーにロードします。WebUI サービスをインストールするタスクを実行する前に WebUI サイトを収集できますが、ロードできるのは、WebUI の初期化が完了した後のみです。