Verwalten von Linux-Sicherheitsupdates

Wichtig

AWS OpsWorks Stacksakzeptiert keine neuen Kunden mehr. Bestandskunden können OpsWorks Konsole, API, CLI und CloudFormation Ressourcen bis zum 26. Mai 2024 wie gewohnt nutzen. Zu diesem Zeitpunkt werden sie eingestellt. Um dich auf diesen Übergang vorzubereiten, empfehlen wir dir, deine Stacks AWS Systems Manager so schnell wie möglich auf sie umzustellen. Weitere Informationen erhalten Sie unter AWS OpsWorks StacksHäufig gestellte Fragen zum Lebensende und Migrieren Sie Ihre AWS OpsWorks Stacks Anwendungen zu AWS Systems Manager Application Manager.

Sicherheits-Updates

Anbieter von Linux-Betriebssystemen liefern regelmäßige Updates. Die meisten davon sind Sicherheits-Patches für das Betriebssystem, es können aber auch Aktualisierungen für installierte Pakete sein. Sie sollten sicherstellen, dass die Betriebssysteme Ihrer Instances durch die neuesten Sicherheits-Patches auf dem aktuellen Stand sind.

Standardmäßig installiert AWS OpsWorks Stacks während des Setups automatisch die neuesten Updates, nachdem eine Instance den Startvorgang abgeschlossen hat. AWS OpsWorks Stacks installiert Updates nicht automatisch, nachdem eine Instanz online ist, um Unterbrechungen wie den Neustart von Anwendungsservern zu vermeiden. Stattdessen verwalten Sie Updates Ihrer Online-Instances selbst, um Unterbrechungen zu minimieren.

Wir empfehlen, dass Sie einen der folgenden Schritte befolgen, um Ihre Online-Instances zu aktualisieren.

Erstellen und starten Sie neue Instances, um Ihre aktuellen Online-Instances zu ersetzen. Löschen Sie anschließend die aktuellen Instances.

Auf neuen Instances werden während der Einrichtung die jeweils aktuellen Sicherheits-Patches installiert.
Führen Sie auf Linux-basierten Instances in Chef 11.10 oder älteren Stacks den Stack-Befehl Update Dependencies (Abhängigkeiten aktualisieren) aus. Hierdurch werden der aktuelle Satz von Sicherheits-Patches und andere Updates auf den angegebenen Instances installiert.

In beiden Fällen führt AWS OpsWorks Stacks das Update durch die Ausführung von yum update für Amazon Linux und Red Hat Enterprise Linux (RHEL) oder apt-get update für Ubuntu aus. Jede Verteilung verarbeitet Updates etwas anders. Daher sollten Sie die Informationen in den zugehörigen Links lesen, um genau zu verstehen, wie ein Update Ihre Instances beeinflusst:

Amazon Linux — Amazon Linux-Updates installieren Sicherheitspatches und möglicherweise auch Funktionsupdates, einschließlich Paket-Updates.

Weitere Informationen finden Sie unter Amazon Linux AMI – Häufig gestellte Fragen.
Ubuntu — Ubuntu-Updates beschränken sich größtenteils auf die Installation von Sicherheitspatches, können aber auch Paket-Updates für eine begrenzte Anzahl kritischer Fixes installieren.

Weitere Informationen finden Sie unter LTS – Ubuntu Wiki.
CentOS — CentOS-Updates behalten im Allgemeinen die Binärkompatibilität mit früheren Versionen bei.

Weitere Informationen finden Sie unter CentOS Product Specifications (CentOS-Produktspezifikationen).
RHEL — RHEL-Updates gewährleisten im Allgemeinen die Binärkompatibilität mit früheren Versionen.

Weitere Informationen finden Sie unter Red Hat Enterprise Linux Life Cycle (Red Hat Enterprise Linux-Lebenszyklus).

Wenn Sie mehr Kontrolle über Updates haben möchten, z. B. bestimmte Paketversionen angeben möchten, können Sie automatische Updates deaktivieren, indem Sie die UpdateLayerAktionen CreateInstance, UpdateInstance CreateLayer, oder die entsprechenden AWS-SDK-Methoden oder die AWS-CLI-Befehle verwenden, um den Parameter auf festzulegen. InstallUpdatesOnBoot false Das folgende Beispiel zeigt, wie Sie mit der AWS-CLI InstallUpdatesOnBoot als Standardeinstellung für eine vorhandene Ebene deaktivieren können.


aws opsworks update-layer --layer-id layer ID --no-install-updates-on-boot

Sie müssen Aktualisierungen dann selbst verwalten. Sie können beispielsweise eine der folgenden Strategien nutzen:

Implementieren Sie ein benutzerdefiniertes Rezept, das den entsprechenden Shell-Befehl ausführt, um Ihre bevorzugten Updates zu installieren.

Da System-Updates nicht automatisch mit einem Lebenszyklusereignis verknüpft sind, schließen Sie das Rezept in Ihren benutzerdefinierten Rezeptbüchern ein, aber führen Sie sie manuell aus. Für Paket-Aktualisierungen können Sie auch die yum_package (Amazon Linux)- oder apt_package (Ubuntu)-Ressourcen anstelle eines Shell-Befehls nutzen.
Melden Sie sich bei jeder Instance mit SSH an und führen Sie die entsprechenden Befehle manuell aus.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Registrierung des öffentlichen SSH-Schlüssels eines Benutzers

Verwenden von Sicherheitsgruppen