Linux セキュリティ更新の管理

重要

AWS OpsWorks Stacks は新規顧客を受け付けなくなりました。既存のお客様は、2024 年 5 月 26 日までは OpsWorks コンソール、 API、 CLI、および CloudFormation リソースを通常どおり使用できますが、その時点でこれらのリソースは廃止されます。この移行に備えて、できるだけ早くスタックを AWS Systems Manager に移行することをおすすめします。詳細については、AWS OpsWorks Stacks サポート終了に関する FAQ および AWS Systems Manager アプリケーションマネージャへの AWS OpsWorks Stacks アプリケーションの移行を参照してください。

セキュリティの更新

Linux オペレーティングシステムのプロバイダーは定期的な更新を提供し、その多くがオペレーティングシステムのセキュリティパッチですが、中にはインストールされているパッケージに対する更新も含まれます。インスタンスのオペレーティングシステムは、最新のセキュリティパッチで最新の状態にする必要があります。

デフォルトでは、インスタンスの起動完了後、セットアップ中に AWS OpsWorks スタックにより最新の更新が自動的にインストールされます。AWS OpsWorksスタックでは、アプリケーションサーバーの再起動などの中断を防ぐため、インスタンスがオンラインになった後で更新が自動的にインストールされることはありません。代わりに、中断の可能性を最小限に抑えるため、オンラインインスタンスへの更新はユーザーが自身で管理します。

次のいずれかの方法を使用して、オンラインインスタンスを更新することをお勧めします。

新しいインスタンスを作成して、現在のオンラインインスタンスを置き換えます。次に、現在のインスタンスを削除します。

新しいインスタンスに、セットアップ時にインストールされたセキュリティパッチの最新のセットが適用されます。
Chef 11.10 以前のスタックの Linux ベースのインスタンスでは、Update Dependencies スタックコマンドを実行します。このコマンドは指定したインスタンスに、セキュリティパッチの現在のセットと他の更新をインストールします。

両方のアプローチについては、AWS OpsWorksスタックは、yum updateを Amazon Linux および Red Hat Enterprise Linux (RHEL) または apt-get update Ubuntu で実行することによって、更新を実行します。それぞれのディストリビューションで更新の処理方法は若干異なるため、更新がインスタンスにどのような影響を及ぼすか正確に把握するため、関連リンクの情報を確認してください。

[Amazon Linux (Amazon Linux)] – Amazon Linux は、セキュリティパッチ更新のほか、パッケージ更新など、機能の更新をインストールします。

詳細については、「Amazon Linux AMI に関するよくある質問」を参照してください。
[Ubuntu (Ubuntu)] – Ubuntu では主にセキュリティパッチのインストールに限定されますが、制限された数の重要な修正でパッケージ更新をインストールします。

詳細については、Ubuntu Wiki の LTS に関するページを参照してください。
CentOS – CentOS の更新では、一般的に前のバージョンとのバイナリ互換性が維持されます。

詳細については、「CentOS 製品の仕様」を参照してください。
RHEL – RHEL の更新では、一般的に前のバージョンとのバイナリ互換性が維持されます。

詳細については、「Red Hat Enterprise Linux ライフサイクル」を参照してください。

特定のパッケージバージョンの指定など、より細かく更新を管理する場合は、[CreateInstance (インスタンスの作成)]、[UpdateInstance (インスタンスの更新)]、[CreateLayer (レイヤーの作成)]、または [UpdateLayer (レイヤーの更新)] アクション (または同等の [AWS SDK (AWS SDK)] メソッド、[AWS CLI (AWS CLI)] コマンド) を使用して自動更新を無効にして、InstallUpdatesOnBoot パラメータを false に設定します。次の例に、AWS CLI を使用して、既存のレイヤーのデフォルト設定として InstallUpdatesOnBoot を無効にする方法を示します。


aws opsworks update-layer --layer-id layer ID --no-install-updates-on-boot

その後、更新を自身で管理する必要があります。たとえば、次のいずれかの方法を使用できます。

適切なシェルコマンドを実行するカスタムレシピを実装して、希望の更新をインストールします。

システムの更新はライフサイクルイベントとは本質的に無関係であるため、カスタムクックブックにレシピを含めて、それを手動で実行します。パッケージ更新の場合、シェルコマンドの代わりに、yum_package (Amazon Linux) または apt_package (Ubuntu) リソースを使用することもできます。
SSH で各インスタンスにログインし、適切なコマンドを手動で実行してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ユーザーのパブリック SSH キーの登録

セキュリティグループの使用