Nach dem Upgrade der neuesten Version von PostgreSQL, Redis und Salt müssen Sie ein Upgrade des RaaS-Knotens von der vorherigen Version auf die neueste Version durchführen.

Beachten Sie, dass für Datenbank-Upgrades eine Neuindizierung der Daten erforderlich ist. Wenn Ihre Daten komplex sind, kann ein Datenbank-Upgrade möglicherweise mehrere Stunden dauern. Eine Erläuterung darüber, wann ein Upgrade geplant werden soll, sowie weitere Tipps finden Sie unter Empfohlene Vorgehensweise beim Upgrade.

Wichtig:

Vor dem Upgrade Ihres RaaS-Knotens müssen Sie Ihre Systemdaten sichern, um Datenverlust zu vermeiden. Eine Erläuterung, welche Dateien und Verzeichnisse vor dem Upgrade gesichert werden müssen, finden Sie unter Sichern Ihrer Daten.

So führen Sie ein Upgrade des RaaS-Knotens durch:

  1. Laden Sie die Upgrade-Dateien von Customer Connect herunter.
  2. Speichern Sie alle Änderungen, die Sie am Standarddateisystem, an Pfeilerdaten und Aufträgen vorgenommen haben, als neue Dateien oder Aufträge.
  3. Beachten Sie alle Pfeilerzuweisungen, die für die Standardziele vorgenommen wurden. Diese müssen nach dem Upgrade erneut zugewiesen werden.
  4. Beenden Sie den RaaS-Dienst mit dem folgenden Befehl:
    sudo systemctl stop raas
  5. Entfernen Sie die Protokolldatei(en) im /var/log/raas-Verzeichnis. Durch das Löschen der Protokolldateien wird eine fehlerfreie Protokolldatei zur Verfügung gestellt, falls eine Fehlerbehebung erforderlich ist.
  6. Entfernen Sie die aktuell installierte Version der API (RaaS) mit dem folgenden Befehl:
    sudo yum remove raas
  7. Führen Sie ein Upgrade des RaaS-Knotens durch, indem Sie das neueste RPM installieren. Verwenden Sie den folgenden Beispielbefehl und ersetzen Sie den genauen Dateinamen des RPM:
    sudo yum install raas-rpm-file-name.rpm
  8. WICHTIG: Stellen Sie die Sicherung der folgenden Dateien wieder her:
    • /etc/raas/raas
    • /etc/raas/raas.secconf
    • /etc/raas/pki/
  9. Aktualisieren Sie die Berechtigungen für den raas-Benutzer mit dem folgenden Befehl:
    sudo chown -R raas:raas /etc/pki/raas/certs
  10. OPTIONAL: Wenn Sie über eine SaltStack SecOps-Lizenz verfügen und die Konformitätssbibliothek hinzufügen möchten, fügen Sie den folgenden neuen Abschnitt zur /etc/raas/raas-Datei hinzu:
    sec:
      ingest_override: true
      locke_dir: locke
      post_ingest_cleanup: true
      username: 'secops'
      content_url: 'https://enterprise.saltstack.com/secops_downloads'
      download_enabled: true
      download_frequency: 86400
      stats_snapshot_interval: 3600
      compile_stats_interval: 10
      ingest_on_boot: True
      content_lock_timeout: 60
      content_lock_block_timeout: 120
    Hinweis:

    Dieser Schritt ist optional und gilt nur für Organisationen, die über eine gültige SaltStack SecOps-Lizenz verfügen. Dieses Add-On-Modul ist für SaltStack Config-Versionen ab 6.0 verfügbar. Die vorherigen Konfigurationsoptionen in der /etc/raas/raas-Konfigurationsdatei sind spezifisch für diese Add-On-Module.

  11. OPTIONAL: Wenn Sie über eine SaltStack SecOps-Lizenz verfügen und die Schwachstellenbibliothek hinzufügen möchten, fügen Sie der Datei /etc/raas/raas einen neuen Abschnitt hinzu:
    vman:
      vman_dir: vman
      download_enabled: true
      download_frequency: 86400
      username: vman
      content_url: 'https://enterprise.saltstack.com/vman_downloads'
      ingest_on_boot: true
      compile_stats_interval: 60
      stats_snapshot_interval: 3600
      old_policy_file_lifespan: 2
      delete_old_policy_files_interval: 86400
      tenable_asset_import_enabled: True
      tenable_asset_import_grains: ['fqdn', 'ipv4', 'ipv6', 'hostname', 'mac_address', 'netbios_name',
                                    'bios_uuid', 'manufacturer_tpm_id', 'ssh_fingerprint',
                                    'mcafee_epo_guid', 'mcafee_epo_agent_guid', 'symantec_ep_hardware_key',
                                    'qualys_asset_id', 'qualys_host_id', 'servicenow_sys_id', 'gcp_project_id',
                                    'gcp_zone', 'gcp_instance_id', 'azure_vm_id', 'azure_resource_id',
                                    'aws_availability_zone', 'aws_ec2_instance_ami_id',
                                    'aws_ec2_instance_group_name', 'aws_ec2_instance_state_name',
                                    'aws_ec2_instance_type', 'aws_ec2_name', 'aws_ec2_product_code',
                                    'aws_owner_id', 'aws_region', 'aws_subnet_id', 'aws_vpc_id',
                                    'installed_software', 'bigfix_asset_id'
                                    ]
    Hinweis:

    Dieser Schritt ist optional und gilt nur für Organisationen, die über eine gültige SaltStack SecOps-Lizenz verfügen. Dieses Add-On-Modul ist für SaltStack Config-Versionen ab 6.0 verfügbar. Die vorherigen Konfigurationsoptionen in der /etc/raas/raas-Konfigurationsdatei sind spezifisch für diese Add-On-Module.

  12. RaaS hat derzeit ein bekanntes Problem im Zusammenhang mit veralteten Aufträgen. Beim Upgrade bemerken einige Benutzer möglicherweise eine Warteschlange veralteter Aufträge, die im Status „Ausstehend“ hängenbleiben. Das Upgrade des RaaS-Knotens kann dazu führen, dass diese Aufträge ausgeführt werden, es sei denn, sie werden zuerst gelöscht.

    Um dies zu verhindern, überprüfen Sie zunächst, ob alte Befehle in der Datenbank gespeichert sind. Überprüfen Sie auf Ihrem PostgreSQL-Knoten, ob ausstehende Aufträge vorhanden sind. Verwenden Sie dazu den folgenden Befehl:

    select count(1) from commands where state='new';

    Das Ergebnis ist die Anzahl der ausstehenden Aufträge. Wenn die Anzahl der Aufträge 0 beträgt, fahren Sie mit dem Rest des Upgrade-Vorgangs fort. Wenn die Anzahl der Aufträge größer ist als 0, wenden Sie sich an den Support, um Informationen zur Problemumgehung zu erhalten.

  13. Führen Sie ein Upgrade der RaaS-Dienst-Datenbank mit dem folgenden Befehl durch:
    sudo su - raas
    raas upgrade
    Hinweis:

    Je nach Größe Ihrer Datenbank kann das Upgrade mehrere Minuten bis über eine Stunde dauern. Wenn Fehler auftreten, überprüfen Sie die /var/log/raas/raas-Protokolldatei, um weitere Informationen zu erhalten.

  14. Beenden Sie nach dem Upgrade die Sitzung für den raas-Benutzer mit dem folgenden Befehl:
    exit
  15. Starten Sie den RaaS-Dienst mit dem folgenden Befehl:
    sudo systemctl enable raas
    sudo systemctl start raas

Stellen Sie sicher, dass SaltStack Config ordnungsgemäß funktioniert und dass die neueste Version ausgeführt wird. Fahren Sie mit dem nächsten Abschnitt fort.

Nächste Schritte

Nach dem Upgrade des RaaS-Knotens besteht die letzte Aufgabe darin, das Upgrade des Master-Plug-Ins durchzuführen. Weitere Informationen hierzu finden Sie unter Upgrade des Master-Plug-Ins.