La nouvelle version de KernelCare ePortal a été publiée.
Une nouvelle version de KernelCare ePortal permet d'utiliser des chemins personnalisés pour les certificats et utilise les certificats système par défaut, contrairement à la version précédente qui fonctionnait avec des certificats provenant de certifi libes.
Qu'est-ce que KernelCare ePortal ?
KernelCare.ePortal est un serveur de correctifs qui fonctionne en interne, mais à l'extérieur de votre pare-feu. Il agit comme un pont entre les serveurs internes et le serveur de patch principal de KernelCare. Cette approche est idéale pour les environnements de transit et de production qui doivent être strictement isolés des réseaux externes, ou qui nécessitent un contrôle plus strict des correctifs à appliquer. Vous pouvez en savoir plus sur ePortal dans Livre blanc technique de KernelCare.
Aujourd'hui, l'équipe de KernelCare est heureuse de vous annoncer qu'une nouvelle version d'ePortal a été publiée. Voici ce qui a été modifié pour le mieux.
"La sortie d'une version aussi importante d'ePortal a représenté un effort considérable. Nous avons travaillé dur pendant plusieurs mois pour parvenir à ce résultat. Nous espérons que nos clients professionnels sentiront la différence et que leur vie sera un peu plus facile."
Mikhail Pobirsky, chef de produit de KernelCare
Qu'est-ce qui a changé dans ePortal ?
Tout d'abord, KernelCare ePortal est désormais conforme à la norme FIPS. Certains clients de KernelCare ont des exigences en matière de systèmes qui leur permettent de déclarer qu'ils sont conformes à la norme FIPS 140-2. Habituellement, cela se fait sur la substitution des modules python pour s'assurer que md5 n'est pas utilisé à des fins cryptographiques. Dans KernelCare ePortal, cette fonction est utilisée pour s'assurer que le fichier téléchargé depuis le serveur de patchs n'est pas cassé et que la zone cryptographique n'est pas affectée. Dans cette nouvelle version, nous avons ajouté une balise à l'appel md5.
Une deuxième amélioration majeure est l'amélioration de la logique d'utilisation des certificats. Auparavant, ePortal travaillait avec les certificats fournis par certifi lib. La version actuelle change cette logique. ePortal 1.11-1 utilise les certificats système par défaut. Pour faciliter la transition depuis la version précédente d'ePortal, veuillez installer le paquet ca-certificates avant la mise à jour (la commande est la même pour Centos 6 et Centos 7) :
yum -y install ca-certificats
Si vous avez rencontré des problèmes de livraison de la version après l'installation de la nouvelle version d'ePortal, vous pouvez procéder comme suit :
1) Vous pouvez toujours revenir à certifi et les certificats fournis par cette bibliothèque. Dans ce cas, veuillez ajouter le paramètre USE_CERTIFI=True au fichier /usr/share/kcare-eportal/config/local.py.
echo 'USE_CERTIFI = True' >> /usr/share/kcare-eportal/config/local.py
Après avoir modifié le fichier /usr/share/kcare-eportal/config/local.py, vous devez redémarrer ePortal en suivant ces instructions (qui dépendent de votre système d'exploitation) : https://docs.kernelcare.com/kernelcare-enterprise/#stopping-starting.
Les mises à jour ultérieures ne nécessiteront aucune action supplémentaire de votre part. Vos paramètres de certification dans /usr/share/kcare-eportal/config/local.py resteront inchangés.
2) Si vous utilisez des certificats personnalisés, vous devez ajouter la variable CA_BUNDLE dans /usr/share/kcare-eportal/config/local.py. Spécifiez le chemin d'accès au répertoire contenant vos certificats comme valeur.
Par exemple, le contenu de /usr/share/kcare-eportal/config/local.py sera le suivant :
cat /usr/share/kcare-eportal/config/local.py
CA_BUNDLE = "/my/certificates/directory" (en anglais)
Mise à niveau d'ePortal vers la nouvelle version
Si vous utilisez déjà KernelCare ePortal, exécutez la commande yum -y install kcare-eportal pour le mettre à jour vers la version 1.11-1.
Pour installer ePortal à partir de zéro, reportez-vous à ces instructions d'installation. Notez qu'ePortal n'est disponible que pour les entreprises clientes. ne sera pas disponible pour CentOS 6 à partir de juillet 2020.
D'autres améliorations d'ePortal sont prévues pour être déployées cette année, alors restez à l'affût des mises à jour sur le blog de KernelCare ou via nos canaux de médias sociaux. Facebook, Twitter.