第20 章• 管理Solaris 修补程序和更新（概述） 425
用来管理Solaris 修补程序和更新的工具
可以使用以下工具管理Solaris 系统上的修补程序和更新：
 Sun Update ConnectionWeb 应用程序
 Sun Update Manager 应用程序
 smpatch 命令行界面
 patchadd
 Solaris Management Console 修补工具（GUI，从Solaris 9 开始）
如果需要向无盘客户机系统应用修补程序，请参见第146 页中的“修补无盘客户机OS 服务
”。
下表概述了Solaris 修补程序管理工具的可用性。
有关Sun Update Connection 工具的信息，请参见
上的Sun Update Connection 产品文档。
工具的可用性
patchadd/patchrm 命
令
Solaris 2.6 和Solaris 7
修补程序管理工具Sun Patch Manager 2.0
PatchPro Interactive
或PatchPro Expert
如何获取此工具？ 包含在该Solaris
发行版中
从Sun 下载中心
Web 站点1下载该
工具。
包含在Solaris 10 发
行版（SUNWCprog、
SUNWCall 和
SUNWCXall）中
从Sun 下载中心
Web 站点1下载该
工具的Solaris 8 或
Solaris 9 版本
从PatchProWeb
站点2 运行该工
具。
可以使用哪些Solaris
发行版？
Solaris 2.6、Solaris
7、Solaris 8、
Solaris 9 和Solaris
10 发行版
Solaris 2.6 和
Solaris 7 发行版
Solaris 8、Solaris 9
和Solaris 10 发行版
Solaris 2.6、
Solaris 7、Solaris
8、Solaris 9 和
Solaris 10 发行版
是否应用已签名的修
补程序？
从Solaris 9 12/03
发行版开始－
是，并且会在下
载已签名的修补
程序时自动对其
进行检验
是，并且会在下
载已签名的修补
程序时自动对其
进行检验
是，并且会在下载
已签名的修补程序
时自动对其进行检
验
否，不对这些工
具应用修补程序
是否应用未签名的修
补程序？
是否是，但是必须首先
解压缩修补程序
否
1 Sun 下载中心的Web 站点的网址是
2 PatchProWeb 站点的网址是
用来管理Solaris 修补程序和更新的工具
426 系统管理指南：基本管理• 2006 年7 月
工具的可用性
patchadd/patchrm 命
令
Solaris 2.6 和Solaris 7
修补程序管理工具Sun Patch Manager 2.0
PatchPro Interactive
或PatchPro Expert
是否提供GUI？ 否否是，但仅限于
Solaris 9 和Solaris
10 系统
是，这些工具只
能从PatchPro
Web 站点2 运行
是否分析系统以确定
相应的修补程序并下
载已签名或未签名的
修补程序？
否是，仅下载已签
名的修补程序
是，仅下载已签名
的修补程序
是，仅下载未签
名的修补程序
是否支持本地和远程
系统修补程序？
本地本地本地和远程
对于Solaris 8 系统
－本地
否
是否支持RBAC（基
于角色的访问控制）
？
是否是否
2 PatchProWeb 站点的网址是
从Solaris 9 发行版开始－还在Solaris Management Console (smc) 中提供了一个图形用户界面
修补工具。使用修补工具，可以分析系统以确定相应的修补程序、查看修补程序属性、下
载修补程序、向系统应用修补程序以及删除修补程序。
管理Solaris 修补程序
在应用修补程序时，修补程序工具会调用pkgadd 命令，以便将修补程序目录中的修补程序
包应用于本地系统的磁盘。
注意– 请勿直接运行pkgadd 命令应用修补程序。
更具体地说，修补程序工具可执行以下操作：
 确定管理主机和目标主机的Solaris 版本号
 使用以下信息更新修补程序包的pkginfo 文件：
 正在应用的修补程序已废弃的修补程序
 该修补程序所需的其他修补程序
 与该修补程序不兼容的修补程序
在应用修补程序时，patchadd 命令会在/var/sadm/patch/patch-id/log 文件中记录相应的信
息。
用来管理Solaris 修补程序和更新的工具
第20 章• 管理Solaris 修补程序和更新（概述） 427
注– 在该Solaris 发行版中，已经对patchadd -M 命令进行了改进。在使用此命令向系统应用
修补程序时，不再需要按数值顺序指定修补程序ID。如果在使用patchadd -M 命令时未指定
修补程序ID，则该目录中的所有修补程序都将安装到系统上。有关这些更改的更多信息，
请参见patchadd (1M)。
在以下情况下，patchadd 命令无法应用修补程序：
 软件包未完全安装到系统上。
 修补程序包的体系结构不同于系统的体系结构。
 修补程序包的版本与所安装的修补程序的版本不一致。
 已经应用了具有相同主版本号的修补程序或修订版本号更高的修补程序。
 已经应用了废弃该修补程序的修补程序。
 该修补程序与已经应用于系统的修补程序不兼容。已经应用的每个修补程序都将该信息
保存在其pkginfo 文件中。
 正在应用的修补程序取决于尚未应用的另一个修补程序。
选择修补程序和更新的最佳应用方法
可以使用多种不同的方法下载一个或多个修补程序/更新或将其应用到系统上。使用下表可
以确定哪种方法最适合您的需要。
注– 从Solaris 10 1/06 发行版开始，smpatch 命令行界面已经进行了更新，以便用于Sun
Update Connection 软件。如果运行的是Solaris 10 初始发行版，并且希望使用Sun Update
Connection，请安装相应的修补程序或将系统升级到Solaris 10 1/06 发行版。有关更多信
息，请参见第329 页中的“Solaris 操作系统中软件管理方面的新增功能”。
有关在安装Solaris 软件之后注册系统的信息，请参见第17 章。
命令或工具说明更多信息
smpatch update 从Solaris 8 发行版开始－使用此命令，
可以分析系统以确定相应的修补程序并
自动下载和应用修补程序。请注意，此
命令将不应用具有interactive 属性集的
修补程序。
注– 对于Solaris 8 系统，仅提供本地模式
的smpatch。
第453 页中的“如何使用
修补程序更新系统（命令
行）”
smpatch(1M) 手册页
选择修补程序和更新的最佳应用方法
428 系统管理指南：基本管理• 2006 年7 月
命令或工具说明更多信息
smpatch analyze 和smpatch
update
从Solaris 8 发行版开始－首先，使用
smpatch analyze 命令分析系统以确定相
应的修补程序。然后，使用smpatch
update 将一个或多个修补程序下载并应
用到系统上。
注– 对于Solaris 8 系统，仅提供本地模式
的smpatch。
第451 页中的“如何分析
系统以获取要应用的修补
程序列表（命令行）”
第453 页中的“如何使用
修补程序更新系统（命令
行）”
smpatch(1M) 手册页
smpatch analyze、smpatch
download 和smpatch add
从Solaris 8 发行版开始－首先，使用
smpatch analyze 命令分析系统以确定相
应的修补程序。然后，使用smpatch
download 对其进行下载。此命令还下载
任何先决修补程序。然后，在系统处于
单用户或多用户模式时，使用smpatch
add 向系统应用一个或多个修补程序。
注– 对于Solaris 8 系统，仅提供本地模式
的smpatch。
第450 页中的“使用命令
行界面管理修补程序（任
务图）”
smpatch(1M) 手册页
patchadd 从Solaris 2.6 发行版开始－向系统应用未
签名的修补程序。
从Solaris 9 12/03 发行版开始－使用此命
令向系统应用已签名或未签名的修补程
序。要应用已签名的修补程序，必须首
先设置软件包密钥库。
第22 章
patchadd(1M) 手册页
Solaris Management Console 修
补工具
从Solaris 9 发行版开始－使用此工具可
以像使用GUI 工具那样方便地管理已签
名的修补程序。
Solaris Management Console
联机帮助
注– 在该Solaris 发行版中，smpatch 命令行界面已经进行了更新，以便用于Sun Update
Connection, System Edition 软件。有关更多信息，请参见第329 页中的“Solaris 操作系统中
软件管理方面的新增功能”。
在Solaris 操作系统中管理修补程序（指南）
使用本指南可以标识用来管理Solaris 修补程序的所有任务。每个任务都指向一系列其他任
务（如管理已签名或未签名的修补程序）。
在Solaris 操作系统中管理修补程序（指南）
第20 章• 管理Solaris 修补程序和更新（概述） 429
任务说明参考
确定是应用已签名的修补程
序还是应用未签名的修补程
序。
确定应当向您的环境应用已签名的修补
程序还是未签名的修补程序。
第430 页中的“确定要向
系统应用已签名的修补程
序还是未签名的修补程序
”
向系统应用修补程序。可通过以下方法应用修补程序：
在Solaris 8、Solaris 9 或Solaris 10 系统
上，使用smpatch 命令应用已签名或未
签名的修补程序。
第444 页中的“使用Sun
Patch Manager 命令行界面
管理Solaris 修补程序（任
务图）”
在Solaris 2.6、Solaris 7、Solaris 8、Solaris
9 或Solaris 10 系统上，使用patchadd 命
令应用未签名的Solaris 修补程序。
第469 页中的“使用
patchadd 命令管理Solaris
修补程序（任务图）”
确定要向系统应用已签名的修补程序还是未签名的
修补程序
在确定要向系统应用已签名的修补程序还是未签名的修补程序时，关键因素在于您是否信
任修补程序源。
如果您信任修补程序源，例如，修补程序CD 来自已知的发行人，或者HTTPS 连接到可信的
Web 站点，则可以使用未签名的修补程序。但是，如果您不信任修补程序源，请使用已签
名的修补程序。
如果不确定是否信任修补程序源，请使用已签名的修补程序。
Solaris 修补程序管理术语和定义
以下术语用于涉及到修补程序管理的所有章中。
对系统进行检查，以确定适于该系统的修补程序列表。
Patch Manager 使用分析模块和一系列来自Sun 修补程序服务器的可用修补程序，生成适用
于Solaris 系统的修补程序列表。
在系统上安装修补程序。
删除系统上的修补程序。
在删除（卸载）某个修补程序之后，重新应用该修补程序以使系统恢复到以前的状态时创
建的数据。
用来存储卸载数据的目录。缺省情况下，这是由修补程序安装的每个软件包的save 目录。
analyze（分析）
apply（应用）
back out（卸
载）
backout data
（卸载数据）
backout directory
（卸载目录）
Solaris 修补程序管理术语和定义
430 系统管理指南：基本管理• 2006 年7 月
修补程序服务器链中的某台服务器存储已从其他服务器下载到其中的修补程序的能力。
请参见修补程序相关性。
电子签名，可用来确保文档自应用签名以来尚未进行修改。
将一个或多个修补程序从修补程序源（如Sun 修补程序服务器）复制到要应用修补程序的
系统。
用来存储从修补程序源下载的修补程序的目录。这也是从中应用修补程序的目录。缺省位
置是/var/sadm/spool。
在尝试应用已签名的修补程序时，要对其进行查询的证书和密钥的系统信息库。
smpatch 命令可用的模式，该命令只能在本地系统上运行。此模式可用来在系统处于单用户
或多用户模式时应用修补程序。
与interactive 属性相关且具有一个或多个rebootafter、rebootimmediate、
reconfigafter、reconfigimmediate 和singleuser 属性的修补程序，或者是不能通过运行常
用修补程序管理工具应用的修补程序。
按照适当的顺序对一组修补程序进行排序。
在系统上安装的软件产品的提供形式。软件包中包含一系列具有所定义格式的文件和目
录。
对软件进行的更新，目的在于更正现有问题或引进新功能。
用来检查系统以确定哪些修补程序适于系统的方法。
一个实例，其中一个修补程序依赖于另一个修补程序是否存在于系统上。对于依赖一个或
多个修补程序的修补程序，只能将其应用到已经应用其他修补程序的系统。
一个唯一的字母数字字符串，以修补程序主版本号开头，随后是连字符，后跟代表修补程
序修订版本号的数字。
很少会出现两个修补程序不能存在于同一个系统上的情况。该关系中的每个修补程序都与
另一个修补程序不兼容。如果希望在已经应用了某个修补程序的系统上应用与该修补程序
不兼容的修补程序，则必须首先删除系统上已经应用的修补程序。然后，即可以应用新修
补程序。
包含一系列修补程序的文件，每行有一个修补程序ID。这样的列表可用来执行修补程序操
作。该列表可基于对系统或用户输入的分析而生成。
caching（缓存）
dependency（相
关性）
digital signature
（数字签名）
download（下
载）
download
directory（下载
目录）
keystore（密钥
库）
local mode（本
地模式）
nonstandard
patch（非标准
修补程序）
order（顺序）
package（软件
包）
patch（修补程
序）
patch analysis
（修补程序分
析）
patch
dependency（修
补程序相关性）
patch ID（修补
程序ID）
patch
incompatibility
（修补程序不兼
容性）
patch list（修补
程序列表）
Solaris 修补程序管理术语和定义
第20 章• 管理Solaris 修补程序和更新（概述） 431
修补程序列表中的每一行上都有两列。第一列是修补程序ID，第二列是该修补程序的概
述。
一个涉及如下操作的进程：分析系统以确定相应的修补程序，将这些修补程序下载到系统
上以及应用修补程序。修补程序管理进程的另一部分就是删除修补程序，此为可选部分。
一个实例，其中一个修补程序会替换另一个修补程序，即使另一个修补程序尚未应用到系
统中也是如此。可废弃一个或多个修补程序的修补程序会完全替换废弃的修补程序，并且
不需要在应用替换修补程序之前应用废弃的修补程序。
由Sun Network Storage 开发的产品，用来提供由Sun Patch Manager 使用的自动修补程序管
理技术。
Solaris 修补程序源，可以供系统用来执行修补程序分析并从中获取相应的修补程序。
可由用户配置的策略，用来指定可在更新系统的过程中应用的修补程序类型。
可用于smpatch 命令的模式，通过该命令，可以在本地系统上用修补程序更新另一个系统。
此模式只能在系统处于多用户模式时使用。
确定修补程序列表所需的修补程序相关性。检查列表中的每个修补程序，以确定是否必须
将任何其他修补程序添加到列表中。如果需要任何修补程序，则可将它们添加到经过排序
的修补程序列表中。
使用有效数字签名签署的修补程序。已签名的修补程序比未签名的修补程序提供更高的安
全性。可在将修补程序应用到系统之前检验修补程序的数字签名。有效数字签名可确保自
应用签名以来，已签名的修补程序尚未经过修改。已签名的修补程序存储在Java 归档(Java
Archive, JAR) 格式文件中。
不必重新引导系统，即可应用到在多用户模式下运行的Solaris 系统的修补程序。这种修补
程序与standard 修补程序属性相关联。
向客户发出的有关已知产品问题的通知，该问题可能会对客户的计算环境或效率产生负面
影响。发出Sun 警报通知的问题应满足特定的故障标准，这些故障至少与可用性、安全性
和数据丢失中的一项有关。
提供对修补程序数据访问的Sun MicrosystemsWeb 站点。Patch Manager 使用数据对系统执
行修补程序分析。请参见。
未使用数字签名签署的修补程序。
（名词）应用于软件的更改，可更正现有问题或引入新功能。
patch
management
process（修补程
序管理进程）
patch
obsolescence
（修补程序的废
弃）
PatchPro
patch server（修
补程序服务器）
policy for
applying patches
（修补程序的应
用策略）
remote mode
（远程模式）
resolve（解析）
signed patch（已
签名的修补程
序）
standard patch
（标准修补程
序）
SunAlert（Sun
警报）
SunSolve Online
（SunSolve 在
线）
unsigned patch
（未签名的修补
程序）
update（更新）
Solaris 修补程序管理术语和定义
432 系统管理指南：基本管理• 2006 年7 月
（动词）执行向系统应用更新所必需的步骤。分析系统，然后下载并应用更新。又称作修
补程序。
用来将您的系统连接到Internet 的系统。您的系统不能直接连接到Internet，而必须使用
Web 代理来建立连接。
web proxy（Web
代理）
Solaris 修补程序管理术语和定义
第20 章• 管理Solaris 修补程序和更新（概述） 433
434
使用Sun Patch Manager 管理Solaris 修补程
序（任务）
本章中的信息介绍如何仅使用Sun Patch Manager 工具管理修补程序。从Solaris 10 1/06 发行
版开始，应使用Sun Update Connection, System Edition 软件管理系统上的修补程序和更新。
Sun Update Connection 软件不仅具有与Sun Patch Manager 2.0 工具相同的功能，而且还具有
一些新增功能和增强功能。
如果运行的是初始Solaris 10 发行版，并且希望使用Sun Update Connection，请安装适当的
修补程序或将系统升级到Solaris 10 1/06 发行版。有关更多信息，请参见
中的产品文档。
有关在安装Solaris 软件之后注册系统的信息，请参见第17 章。
有关管理Solaris 8 和Solaris 9 系统上的修补程序的信息，请参见
。
本章将介绍以下信息：
 第444 页中的“使用Sun Patch Manager 命令行界面管理Solaris 修补程序（任务图）”
 第436 页中的“Patch Manager 功能”
 第438 页中的“Sun Patch Manager 概念”
 第443 页中的“Patch Manager 入门”
 第465 页中的“Patch Manager 疑难解答”
要使用Sun Patch Manager 工具，必须至少安装Solaris 10 软件的开发者Solaris 软件组。
Solaris 10 发行版中包括Patch Manager 软件。
如果要在Solaris 8 系统上运行Patch Manager，必须至少安装Solaris 8 软件的最终用户Solaris
软件组。如果要在Solaris 9 系统上运行Patch Manager，必须至少安装Solaris 9 软件的完整
Solaris 软件组。此外，还必须从位于 中的Sun 下
载中心(Sun Download Center) 获取Patch Manager 软件。
有关使用patchadd 命令管理Solaris 修补程序的逐步说明，请参见第22 章。
21 第2 1 章
435
注– 从该Solaris 发行版开始，并非所有Sun 修补程序都可通过Sun Patch Manager 获取。这类
修补程序包括不符合PatchPro 标准的那些修补程序，以及具有第三方合同限制的那些修补
程序。
Patch Manager 功能
Patch Manager 具有以下功能：
 PatchPro 分析引擎
 本地模式的命令行界面
 修补程序列表操作
注– Sun Update Connection 软件不仅具有与Sun Patch Manager 2.0 工具相同的功能，而且还
具有一些新增功能和增强功能。如果运行的是Solaris 10 初始发行版，并且希望使用Sun
Update Connection，请安装适当的修补程序或将系统升级到Solaris 10 1/06 发行版。
有关安装和使用Sun Update Connection, System Edition 软件的信息，请参见位于
中的产品文档。
PatchPro 分析引擎
Patch Manager 引入了PatchPro 功能，可自动执行修补程序管理进程。此进程包括在系统上
执行修补程序分析，然后下载并应用所需的修补程序。此自动功能以前是作为单独的
PatchPro 产品为Solaris 2.6、Solaris 7、Solaris 8 和Solaris 9 提供的，现在则是标准Solaris 10
发行版的一部分。
PatchPro 使用签名的修补程序，通过确保未对Solaris 修补程序进行修改来提高这些修补程
序的安全性。
注– Sun Patch Manager 2.0 包括用于转换的pprosetup 和pprosvc 命令。最好不要使用这些命
令，而应改用smpatch 命令。
本地模式的命令行界面
注– 在Solaris 8 系统上，仅能在本地模式下运行smpatch。
从Solaris 9 开始，smpatch 命令可以在两种模式下使用：本地模式和远程模式。本地模式仅
能在本地系统上运行。系统处于单用户模式或多用户模式下时，均可运行此模式。远程模
式可用于针对远程系统执行任务。具有适当授权的用户或角色均可使用本地模式和远程模
式。
Patch Manager 功能
436 系统管理指南：基本管理• 2006 年7 月
缺省情况下，系统会运行本地模式。在本地模式下，系统不会使用SolarisWBEM服务，并
且验证选项或引用远程系统的那些选项均不可用。smpatch 命令在本地模式下的运行速度比
在远程模式下更快。
如果指定任何远程选项或验证选项（-L 除外），则系统将使用远程模式。
本地模式下的单用户模式操作
当系统处于单用户模式下时，可以在本地模式下使用smpatch add 命令应用修补程序。当修
补程序与singleuser 修补程序属性关联时，或要将所有修补程序应用于静默系统时，请采
用此方式应用修补程序。
当系统在单用户模式下运行时，应仅使用smpatch add、smpatch order 和smpatch remove 命
令管理修补程序。
当系统在单用户模式下运行时，可以使用smpatch get、smpatch set 和smpatch unset 命令
配置修补程序管理环境。
当系统在单用户模式下运行时，请勿使用smpatch analyze、smpatch download 和smpatch
update 命令。这些命令取决于系统处于单用户模式下时不可用的网络服务。
如果以前使用smpatch update 命令更新带有修补程序的系统，则某些修补程序可能未被应
用。如果这类修补程序不符合修补程序应用策略，则不能进行应用，必须在单用户模式下
手动应用这类修补程序。
要在系统处于单用户模式下时应用修补程序，请使用带有-x idlist= 选项的smpatch add 命
令指定要应用的修补程序的列表。
可以使用disallowed_patch_list 文件作为smpatch add 命令的输入来应用singleuser 修补
程序。此文件（存储在下载目录中）列出了在系统处于多用户模式下时无法通过smpatch
update 应用的任何修补程序。例如：
# smpatch add -x idlist=/var/sadm/spool/disallowed_patch_list
修补程序列表操作
Patch Manager 可以创建一个有序的修补程序列表，您可以将这些修补程序保存到文本文件
中并使用其执行修补程序操作。
可以使用修补程序列表将同一组修补程序应用于具有相同硬件和软件配置的系统。或者，
可以创建一个包含所有相关安全修补程序的修补程序列表文件，并使用修补程序列表将这
些安全修补程序应用于一个或多个系统。
您可以采用以下任何一种方式使用smpatch 命令来创建一个包含有序修补程序列表的文件：
 执行系统分析－使用smpatch analyze 命令分析系统，生成一个有序的修补程序列表并
将其写入文件。可以编辑此文件，以删除不需要的修补程序。
Patch Manager 功能