Wie Patches installiert werden - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie Patches installiert werden

Patch Manager, eine Fähigkeit von AWS Systems Manager, verwendet den geeigneten integrierten Mechanismus für einen Betriebssystemtyp, um Updates auf einem verwalteten Knoten zu installieren. Zum Beispiel auf Windows Server, das Windows Update API wird verwendet, und auf Amazon Linux 2 wird der yum Paketmanager verwendet.

Wählen Sie aus den folgenden Tabs, um zu erfahren, wie Patch Manager installiert Patches auf einem Betriebssystem.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

Auf den verwalteten Knoten Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 und Amazon Linux 2023 sieht der Ablauf der Patch-Installation wie folgt aus:

  1. Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des InstallOverrideList Parameters für die AWS-RunPatchBaselineAssociation Dokumente AWS-RunPatchBaseline oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen.

  2. Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.

  3. Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.

    Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.

  4. Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.

  5. Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.

  6. Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.

  7. Das YUM Update API (Amazon Linux 1, Amazon Linux 2) oder das DNF Update API (Amazon Linux 2022, Amazon Linux 2023) wird wie folgt auf genehmigte Patches angewendet:

    • Für vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, werden nur die in updateinfo.xml angegebenen Patches angewendet (nur Sicherheitsupdates). Dies liegt daran, dass das Kontrollkästchen Funktionsupdates einschließen nicht aktiviert ist. Die vordefinierten Baselines entsprechen einer benutzerdefinierten Baseline mit folgenden Eigenschaften:

      • Das Kontrollkästchen Funktionsupdates einschließen ist nicht aktiviert

      • Eine SEVERITY Liste von [Critical, Important]

      • Eine CLASSIFICATION Liste von [Security, Bugfix]

      Für Amazon Linux 1 und Amazon Linux 2 lautet der entsprechende yum-Befehl für diesen Workflow:

      sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

      Für Amazon Linux 2022 und Amazon Linux 2023 lautet der entsprechende dnf-Befehl für diesen Workflow:

      sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

      Wenn das Kontrollkästchen Funktionsupdates einschließen aktiviert ist, werden alle Patches angewendet (Sicherheits- und Funktionsupdates), die in updateinfo.xml und nicht in updateinfo.xml sind.

      Wenn für Amazon Linux 1 und Amazon Linux 2 eine Baseline mit Include Nonsecurity Updates ausgewählt ist, eine SEVERITY Liste von [Critical, Important] und eine CLASSIFICATION Liste von enthält[Security, Bugfix], lautet der entsprechende yum-Befehl:

      sudo yum update --security --sec-severity=Critical,Important --bugfix -y

      Für Amazon Linux 2022 und Amazon Linux 2023 lautet der entsprechende dnf-Befehl:

      sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
      Anmerkung

      Für Amazon Linux 2022 und Amazon Linux 2023 entspricht ein Patch-Schweregrad von Medium einem Schweregrad von Moderate, der in einigen externen Repositories definiert sein könnte. Wenn Sie Patches mit dem Medium-Schweregrad in die Patch-Baseline aufnehmen, werden auch Patches mit dem Moderate-Schweregrad von externen Patches auf den Instances installiert.

      Wenn Sie mithilfe der Aktion Compliance-Daten abfragen API DescribeInstancePatches, wenn nach dem Schweregrad gefiltert wirdMedium, werden Patches mit dem Schweregrad Medium sowohl als auch gemeldetModerate.

      Amazon Linux 2022 und Amazon Linux 2023 unterstützen auch den Patch-SchweregradNone, der vom DNF Paketmanager erkannt wird.

  8. Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der RebootOption Parameter NoReboot im AWS-RunPatchBaseline Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)

CentOS and CentOS Stream

Auf CentOS und CentOS Stream Bei verwalteten Knoten sieht der Arbeitsablauf für die Patch-Installation wie folgt aus:

  1. Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des InstallOverrideList Parameters für die AWS-RunPatchBaselineAssociation Dokumente AWS-RunPatchBaseline oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen.

    Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.

  2. Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.

    Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.

  3. Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.

  4. Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.

  5. Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.

  6. Das YUM Update API (auf CentOS 6.x- und 7.x-Versionen) oder das DNF Update (auf CentOS 8 und CentOS Stream) wird auf genehmigte Patches angewendet.

  7. Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der RebootOption Parameter NoReboot im AWS-RunPatchBaseline Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)

Debian Server and Raspberry Pi OS

Ein Debian Server and Raspberry Pi OS Bei Instanzen (früher Raspbian) sieht der Arbeitsablauf für die Patch-Installation wie folgt aus:

  1. Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des InstallOverrideList Parameters für die AWS-RunPatchBaselineAssociation Dokumente AWS-RunPatchBaseline oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen.

  2. Wenn eine Aktualisierung für python3-apt (eine Python-Bibliotheks-Schnittstelle zu libapt) verfügbar ist, wird es auf die neueste Version aktualisiert. (Dieses nicht sicherheitsrelevante Paket wird aktualisiert, auch wenn Sie die Option Mit nicht sicherheitsrelevanten Updates nicht ausgewählt haben.)

    Wichtig

    Ein Debian Server Nur 8: Weil einige Debian Server 8.* verwaltete Knoten verweisen auf ein veraltetes Paket-Repository (jessie-backports), Patch Manager führt die folgenden zusätzlichen Schritte durch, um sicherzustellen, dass die Patch-Operationen erfolgreich sind:

    1. Auf Ihrem verwalteten Knoten wird der Verweis auf das Repository jessie-backports aus der Liste der Quellspeicherorte (/etc/apt/sources.list.d/jessie-backports) auskommentiert. Daher wird nicht versucht, Patches von diesem Speicherort herunterzuladen.

    2. Ein Signaturschlüssel für Stretch-Sicherheitsupdates wird importiert. Dieser Schlüssel bietet die erforderlichen Berechtigungen für die Aktualisierungs- und Installationsvorgänge auf Debian Server 8.* Distributionen.

    3. Zu diesem Zeitpunkt wird eine apt-get-Operation ausgeführt, um sicherzustellen, dass die neueste Version von python3-apt installiert ist, bevor der Patch-Prozess beginnt.

    4. Wenn die Installation abgeschlossen ist, wird der Verweis auf das Repository jessie-backports wiederhergestellt und der Signaturschlüssel wird aus dem Schlüsselbund von APT Sources entfernt. Dies erfolgt, damit die Systemkonfiguration so belassen wird, wie sie vor der Patch-Operation war.

    Das nächste Mal Patch Manager aktualisiert das System, derselbe Vorgang wird wiederholt.

  3. Bewerben GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.

  4. Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.

    Anmerkung

    Weil es nicht möglich ist, die Veröffentlichungsdaten von Updatepaketen für zuverlässig zu ermitteln Debian Server, die Optionen für die automatische Genehmigung werden für dieses Betriebssystem nicht unterstützt.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.

    Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.

    Anmerkung

    Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Debian Server and Raspberry Pi OS, Patch-Candidate-Versionen sind auf die in debian-security enthaltenen Patches beschränkt.

  5. Bewerben ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.

  6. Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.

  7. Die APT Bibliothek wird zum Aktualisieren von Paketen verwendet.

    Anmerkung

    Patch Manager unterstützt nicht die Verwendung der APT Pin-Priority Option, Paketen Prioritäten zuzuweisen. Patch Manager aggregiert verfügbare Updates aus allen aktivierten Repositorys und wählt das neueste Update aus, das der Baseline für jedes installierte Paket entspricht.

  8. Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der RebootOption Parameter NoReboot im AWS-RunPatchBaseline Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)

macOS

Ein macOS verwaltete Knoten, der Arbeitsablauf für die Patch-Installation sieht wie folgt aus:

  1. Die /Library/Receipts/InstallHistory.plist-Eigenschaft ist ein Datensatz der Software, die mit den softwareupdate- und installer-Paketmanagern installiert und aktualisiert wurde. Mithilfe des pkgutil Befehlszeilentools (forinstaller) und des softwareupdate Paketmanagers werden CLI Befehle ausgeführt, um diese Liste zu analysieren.

    Denn installer die Antwort auf die CLI Befehle beinhaltetpackage name,version, volumelocation, und install-time Details, aber nur die package name und version werden von Patch Manager.

    Denn softwareupdate die Antwort auf die CLI Befehle beinhaltet den Paketnamen (display name), und versiondate, aber nur der Paketname und die Version werden von Patch Manager verwendet.

    Für Brew and Brew Cask unterstützt Homebrew seine Befehle, die unter dem Root-Benutzer ausgeführt werden, nicht. Infolgedessen Patch Manager fragt Homebrew-Befehle ab und führt sie entweder als Eigentümer des Homebrew-Verzeichnisses oder als gültiger Benutzer aus, der zur Besitzergruppe des Homebrew-Verzeichnisses gehört. Die Befehle sind ähnlich wie softwareupdate und installer und werden durch einen Python-Subprozess ausgeführt, um Paketdaten zu sammeln. Die Ausgabe wird dann analysiert, um Paketnamen und -versionen zu identifizieren.

  2. Bewerben GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.

  3. Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.

  4. Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.

  5. Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.

  6. Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.

  7. Ruft das entsprechende Paket CLI auf dem verwalteten Knoten auf, um genehmigte Patches wie folgt zu verarbeiten:

    Anmerkung

    installer fehlt die Funktion, um nach Updates zu suchen und sie zu installieren. Daher gilt für installer Patch Manager meldet nur, welche Pakete installiert sind. Das Ergebnis: installer-Pakete werden nie als Missing gemeldet.

    • Für vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und für benutzerdefinierte Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen nicht ausgewählt wurde, werden nur Sicherheitsupdates angewendet.

    • Bei benutzerdefinierten Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen aktiviert ist, werden sowohl Sicherheits- als auch Funktionsupdates angewendet.

  8. Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der RebootOption Parameter NoReboot im AWS-RunPatchBaseline Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)

Oracle Linux

Ein Oracle Linux verwaltete Knoten, der Arbeitsablauf für die Patch-Installation sieht wie folgt aus:

  1. Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des InstallOverrideList Parameters für die AWS-RunPatchBaselineAssociation Dokumente AWS-RunPatchBaseline oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen.

  2. Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.

  3. Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.

    Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.

  4. Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.

  5. Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.

  6. Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.

  7. Auf verwalteten Knoten der Version 7 API wird das YUM Update wie folgt auf genehmigte Patches angewendet:

    • Für vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und für benutzerdefinierte Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen nicht ausgewählt wurde, werden nur Patches, die in updateinfo.xml angegeben sind (nur Sicherheitsupdates), angewendet.

      Der entsprechende Yum-Befehl für diesen Workflow lautet:

      sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    • Bei benutzerdefinierten Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen aktiviert ist, werden sowohl Patches aus der Datei updateinfo.xml als auch solche, die nicht in updateinfo.xml enthalten sind, angewendet (sowohl Sicherheits- als auch Funktionsupdates).

      Der entsprechende Yum-Befehl für diesen Workflow lautet:

      sudo yum update --security --bugfix -y

      Auf verwalteten Knoten der Versionen 8 und 9 API wird das DNF Update wie folgt auf genehmigte Patches angewendet:

      • Für vordefinierte Standard-Patch-Baselines, die von bereitgestellt werden AWS, und für benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen nicht aktiviert ist, updateinfo.xml werden nur die in angegebenen Patches angewendet (nur Sicherheitsupdates).

        Der entsprechende Yum-Befehl für diesen Workflow lautet:

        sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

      • Bei benutzerdefinierten Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen aktiviert ist, werden sowohl Patches aus der Datei updateinfo.xml als auch solche, die nicht in updateinfo.xml enthalten sind, angewendet (sowohl Sicherheits- als auch Funktionsupdates).

        Der entsprechende Yum-Befehl für diesen Workflow lautet:

        sudo dnf upgrade --security --bugfix

  8. Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der RebootOption Parameter NoReboot im AWS-RunPatchBaseline Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)

AlmaLinux, RHEL, and Rocky Linux

Auf AlmaLinux, Red Hat Enterprise Linux, und Rocky Linux Bei verwalteten Knoten sieht der Arbeitsablauf für die Patch-Installation wie folgt aus:

  1. Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des InstallOverrideList Parameters für die AWS-RunPatchBaselineAssociation Dokumente AWS-RunPatchBaseline oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen.

  2. Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.

  3. Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.

    Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.

  4. Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.

  5. Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.

  6. Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.

  7. Das YUM Update API (am RHEL 7) oder das DNF Update API (am AlmaLinux 8. und 9. RHEL 8 und 9 und Rocky Linux 8 und 9) wird wie folgt auf genehmigte Patches angewendet:

    • Für vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und für benutzerdefinierte Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen nicht ausgewählt wurde, werden nur Patches, die in updateinfo.xml angegeben sind (nur Sicherheitsupdates), angewendet.

      Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. RHEL 7, der entsprechende Yum-Befehl für diesen Workflow lautet:

      sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

      Für AlmaLinux RHEL 8, und Rocky Linux , die entsprechenden DNF-Befehle für diesen Workflow sind:

      sudo dnf update-minimal --sec-severity=Critical --bugfix -y ; \
sudo dnf update-minimal --sec-severity=Important --bugfix -y

    • Bei benutzerdefinierten Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen aktiviert ist, werden sowohl Patches aus der Datei updateinfo.xml als auch solche, die nicht in updateinfo.xml enthalten sind, angewendet (sowohl Sicherheits- als auch Funktionsupdates).

      Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. RHEL 7, der entsprechende Yum-Befehl für diesen Workflow lautet:

      sudo yum update --security --bugfix -y

      Für AlmaLinux 8 und 9, RHEL 8 und 9 und Rocky Linux 8 und 9, der entsprechende dnf-Befehl für diesen Workflow lautet:

      sudo dnf update --security --bugfix -y

  8. Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der RebootOption Parameter NoReboot im AWS-RunPatchBaseline Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)

SLES

Ein SUSE Linux Enterprise Server (SLES) verwaltete Knoten, der Arbeitsablauf für die Patch-Installation sieht wie folgt aus:

  1. Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des InstallOverrideList Parameters für die AWS-RunPatchBaselineAssociation Dokumente AWS-RunPatchBaseline oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen.

  2. Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.

  3. Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.

    Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.

  4. Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.

  5. Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.

  6. Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.

  7. Das Zypper-Update API wird auf genehmigte Patches angewendet.

  8. Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der RebootOption Parameter NoReboot im AWS-RunPatchBaseline Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)

Ubuntu Server

Ein Ubuntu Server verwaltete Knoten, der Arbeitsablauf für die Patch-Installation sieht wie folgt aus:

  1. Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des InstallOverrideList Parameters für die AWS-RunPatchBaselineAssociation Dokumente AWS-RunPatchBaseline oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen.

  2. Wenn eine Aktualisierung für python3-apt (eine Python-Bibliotheks-Schnittstelle zu libapt) verfügbar ist, wird es auf die neueste Version aktualisiert. (Dieses nicht sicherheitsrelevante Paket wird aktualisiert, auch wenn Sie die Option Mit nicht sicherheitsrelevanten Updates nicht ausgewählt haben.)

  3. Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.

  4. Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.

    Anmerkung

    Weil es nicht möglich ist, die Veröffentlichungsdaten von Updatepaketen für zuverlässig zu ermitteln Ubuntu Server, die Optionen für die automatische Genehmigung werden für dieses Betriebssystem nicht unterstützt.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.

    Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Anmerkung

    Für jede Version von Ubuntu Serversind Patch-Candidate-Versionen wie folgt auf Patches beschränkt, die Teil des zugehörigen Repositorys für diese Version sind:

    • Ubuntu Server 14.04: LTS trusty-security

    • Ubuntu Server 16,04: LTS xenial-security

    • Ubuntu Server 18,04: LTS bionic-security

    • Ubuntu Server 20,04LTS): focal-security

    • Ubuntu Server 20,10: STR groovy-security

    • Ubuntu Server 22,04LTS: jammy-security

    • Ubuntu Server 23,04: lunar-lobster

  5. Bewerben ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.

  6. Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.

  7. Die APT Bibliothek wird zum Aktualisieren von Paketen verwendet.

    Anmerkung

    Patch Manager unterstützt nicht die Verwendung der APT Pin-Priority Option, Paketen Prioritäten zuzuweisen. Patch Manager aggregiert verfügbare Updates aus allen aktivierten Repositorys und wählt das neueste Update aus, das der Baseline für jedes installierte Paket entspricht.

  8. Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der RebootOption Parameter NoReboot im AWS-RunPatchBaseline Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)

Windows Server

Wenn ein Patch-Vorgang an einem ausgeführt wird Windows Server verwalteter Knoten, der Knoten fordert von Systems Manager einen Snapshot der entsprechenden Patch-Baseline an. Dieser Snapshot enthält die Liste aller in der Patch-Baseline verfügbaren Updates, die für die Bereitstellung genehmigt wurden. Diese Liste von Updates wird an das Windows Update gesendetAPI, das bestimmt, welche Updates für den verwalteten Knoten gelten, und sie nach Bedarf installiert. Windows lässt nur die Installation der neuesten verfügbaren Version einer KB zu. Patch Manager installiert die neueste Version einer KB, wenn sie oder eine frühere Version der KB mit der angewendeten Patch-Baseline übereinstimmt. Wenn Updates installiert sind, wird der verwaltete Knoten danach so oft wie nötig neu gestartet, bis alle erforderlichen Patches abgeschlossen sind. (Ausnahme: Wenn der RebootOption Parameter NoReboot im AWS-RunPatchBaseline Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.) Die Zusammenfassung des Patchvorgangs finden Sie in der Ausgabe von Run Command Anfrage. Zusätzliche Protokolle finden Sie auf dem verwalteten Knoten im %PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs-Ordner.

Da das Windows Update zum Herunterladen und Installieren verwendet API wirdKBs, werden alle Gruppenrichtlinieneinstellungen für Windows Update berücksichtigt. Für die Verwendung sind keine Gruppenrichtlinieneinstellungen erforderlich Patch Manager, aber alle von Ihnen definierten Einstellungen werden angewendet, z. B. um verwaltete Knoten an einen Windows Server Update Services (WSUS) -Server weiterzuleiten.

Anmerkung

Standardmäßig lädt Windows aus folgenden Gründen alles KBs von der Windows Update-Website von Microsoft herunter Patch Manager verwendet das Windows UpdateAPI, um den Download und die Installation von voranzutreibenKBs. Der verwaltete Knoten muss daher die Website von Microsoft Windows Update erreichen können. Andernfalls tritt ein Fehler bei der Patch-Operation auf. Alternativ können Sie einen WSUS Server so konfigurieren, dass er als KB-Repository dient, und Ihre verwalteten Knoten mithilfe von Gruppenrichtlinien so konfigurieren, dass sie auf diesen WSUS Server abzielen.