Funktionsweise von Patch-Baseline-Regeln auf Linux-basierten Systemen - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionsweise von Patch-Baseline-Regeln auf Linux-basierten Systemen

Die Regeln in einer Patch-Baseline für Linux-Verteilungen funktionieren je nach Verteilungstyp unterschiedlich. Im Gegensatz zu Patch-Updates auf Windows Server Bei verwalteten Knoten werden Regeln auf jedem Knoten ausgewertet, um die konfigurierten Repositorys auf der Instanz zu berücksichtigen. Patch Manager, ein Tool in AWS Systems Manager, verwendet den systemeigenen Paketmanager, um die Installation von Patches voranzutreiben, die von der Patch-Baseline genehmigt wurden.

Für Linux-basierte Betriebssysteme, die einen Schweregrad für Patches angeben, Patch Manager verwendet den Schweregrad, den der Softwarehersteller für den Update-Hinweis oder den einzelnen Patch gemeldet hat. Patch Manager leitet den Schweregrad nicht aus Quellen Dritter ab, wie dem Common Vulnerability Scoring System (CVSS), oder aus von der National Vulnerability Database (NVD) veröffentlichten Kennzahlen.

Funktionsweise von Patch-Baseline-Regeln in Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 und Amazon Linux 2023

Auf Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 und Amazon Linux 2023 läuft der Patch-Auswahlprozess wie folgt ab:

  1. Auf dem verwalteten Knoten greift die YUM-Bibliothek (Amazon Linux 1, Amazon Linux 2) oder die DNF-Bibliothek (Amazon Linux 2022 und Amazon Linux 2023) auf die updateinfo.xml-Datei für jedes konfigurierte Repository zu.

    Anmerkung

    Wenn keine updateinfo.xml-Datei gefunden wird, hängt es von den Einstellungen für Funktionsupdates einschließen und Automatische Genehmigung ab, ob Patches installiert werden. Wenn beispielsweise nicht sicherheitsrelevante Updates zulässig sind, werden sie installiert, wenn die automatische Genehmigung eintrifft.

  2. Jeder Update-Hinweis in updateinfo.xml enthält mehrere Attribute, die die Eigenschaften der Pakete im Hinweis kennzeichnen, wie in der folgenden Tabelle beschrieben.

    Update-Hinweis-Attribute
    Attribut Beschreibung
    Typ

    Entspricht dem Wert des Schlüsselattributs Classification in der Patch-Baseline PatchFilterDatentyp. Kennzeichnet den Typ des im Update-Hinweis enthaltenen Pakets.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API-Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

    severity

    Entspricht dem Wert des Schlüsselattributs Severity in der Patch-Baseline PatchFilterDatentyp. Kennzeichnet den Schweregrad der im Update-Hinweis enthaltenen Pakete. Gilt in der Regel nur für Update-Hinweise im Hinblick auf die Sicherheit.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API-Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

    update_id

    Kennzeichnet die Advisory ID, wie etwa ALAS-2017-867. Die Advisory-ID kann verwendet werden in ApprovedPatches oder RejectedPatchesAttribut in der Patch-Baseline.

    Referenzen

    Enthält weitere Informationen über den Update-Hinweis, wie etwa eine CVE ID (Format: CVE-2017-1234567). Die CVE-ID kann verwendet werden in ApprovedPatches oder RejectedPatchesAttribut in der Patch-Baseline.

    Aktualisiert

    Entspricht ApproveAfterDaysin der Patch-Baseline. Kennzeichnet das Veröffentlichungsdatum (Aktualisierungsdatum) der im Update-Hinweis enthaltenen Pakete. Ein Vergleich zwischen dem aktuellen Zeitstempel und dem Wert dieses Attributs plus ApproveAfterDays wird verwendet, um zu bestimmen, ob der Patch für die Bereitstellung genehmigt wurde.

    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen.

  3. Das Produkt des verwalteten Knotens wird bestimmt durch SSM Agent. Dieses Attribut entspricht dem Wert des Product Identity-Attributs in der Patch-Baseline PatchFilterDatentyp.

  4. Pakete für das Update werden gemäß den folgenden Richtlinien ausgewählt.

    Sicherheitsoption Patch-Auswahl

    Vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Funktionsupdates einschließen nicht ausgewählt wurde

    Für jeden Update-Hinweis in updateinfo.xml wird die Patch-Baseline als Filter verwendet, der nur den qualifizierten Paketen die Aufnahme in das Update erlaubt. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

    Für Amazon Linux 1 und Amazon Linux 2 lautet der entsprechende YUM-Befehl für diesen Workflow:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Für Amazon Linux 2022 und Amazon Linux 2023 lautet der entsprechende dnf-Befehl für diesen Workflow:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Funktionsupdates einschließen aktiviert ist, mit einer SCHWEREGRAD-Liste von [Critical, Important] und einer KLASSIFIZIERUNG-Liste von [Security, Bugfix]

    Zusätzlich zur Anwendung der Sicherheitsupdates, die ausgewählt wurdenupdateinfo.xml, Patch Manager wendet nicht sicherheitsrelevante Updates an, die ansonsten den Patch-Filterregeln entsprechen.

    Für Amazon Linux und Amazon Linux 2 lautet der entsprechende YUM-Befehl für diesen Workflow:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Für Amazon Linux 2022 und Amazon Linux 2023 lautet der entsprechende dnf-Befehl für diesen Workflow:

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Statuswerte der Patch-Compliance.

So funktionieren Patch-Baseline-Regeln auf CentOS und CentOS Stream

Das CentOS und CentOS Stream Standard-Repositorys enthalten keine Datei. updateinfo.xml Benutzerdefinierte Repositorys, die Sie erstellen oder verwenden, können diese Datei jedoch enthalten. In diesem Thema beziehen sich Verweise nur updateinfo.xml auf diese benutzerdefinierten Repositorys.

Auf CentOS und CentOS Stream, das Patch-Auswahlverfahren läuft wie folgt ab:

  1. Auf dem verwalteten Knoten greift die YUM-Bibliothek (unter den Versionen CentOS 6.x und 7.x) oder die DNF-Bibliothek (unter CentOS 8.x und CentOS Stream) für jedes konfigurierte Repository auf die Datei updateinfo.xml zu, sofern diese in einem benutzerdefinierten Repository vorhanden ist.

    Wenn kein updateinfo.xml gefunden wird (was immer die Standard-Repos einschließt), hängt die Installation von Patches von den Einstellungen für Nicht sicherheitsrelevante Updates einschließen und Automatische Genehmigung ab. Wenn beispielsweise nicht sicherheitsrelevante Updates zulässig sind, werden sie installiert, wenn die automatische Genehmigung eintrifft.

  2. Wenn updateinfo.xml vorhanden ist, enthält jede Aktualisierungsmitteilung in der Datei mehrere Attribute, die die Eigenschaften der Pakete in der Mitteilung bezeichnen, wie in der folgenden Tabelle beschrieben.

    Update-Hinweis-Attribute
    Attribut Beschreibung
    Typ

    Entspricht dem Wert des Schlüsselattributs Classification in der Patch-Baseline PatchFilterDatentyp. Kennzeichnet den Typ des im Update-Hinweis enthaltenen Pakets.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API-Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

    severity

    Entspricht dem Wert des Schlüsselattributs Severity in der Patch-Baseline PatchFilterDatentyp. Kennzeichnet den Schweregrad der im Update-Hinweis enthaltenen Pakete. Gilt in der Regel nur für Update-Hinweise im Hinblick auf die Sicherheit.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API-Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

    update_id

    Kennzeichnet die Advisory ID, wie beispielsweise CVE-2019-17055. Die Advisory-ID kann verwendet werden in ApprovedPatches oder RejectedPatchesAttribut in der Patch-Baseline.

    Referenzen

    Enthält weitere Informationen über den Update-Hinweis, wie beispielsweise eine CVE-ID (Format: CVE-2019-17055) oder eine Bugzilla-ID (Format: 1463241). Die CVE-ID und die Bugzilla-ID können verwendet werden in ApprovedPatches oder RejectedPatchesAttribut in der Patch-Baseline.

    Aktualisiert

    Entspricht ApproveAfterDaysin der Patch-Baseline. Kennzeichnet das Veröffentlichungsdatum (Aktualisierungsdatum) der im Update-Hinweis enthaltenen Pakete. Ein Vergleich zwischen dem aktuellen Zeitstempel und dem Wert dieses Attributs plus ApproveAfterDays wird verwendet, um zu bestimmen, ob der Patch für die Bereitstellung genehmigt wurde.

    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen.

  3. In allen Fällen wird das Produkt des verwalteten Knotens bestimmt durch SSM Agent. Dieses Attribut entspricht dem Wert des Product Identity-Attributs in der Patch-Baseline PatchFilterDatentyp.

  4. Pakete für das Update werden gemäß den folgenden Richtlinien ausgewählt.

    Sicherheitsoption Patch-Auswahl

    Vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Funktionsupdates einschließen nicht ausgewählt wurde

    Für jeden Aktualisierungshinweis in updateinfo.xml (sofern dieser in einem benutzerdefinierten Repository vorhanden ist) wird die Patch-Baseline als Filter verwendet, sodass nur die qualifizierten Pakete in die Aktualisierung aufgenommen werden. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

    Für CentOS 6 und 7, wo updateinfo.xml vorhanden ist, lautet der entsprechende Yum-Befehl für diesen Workflow:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Für CentOS 8 und CentOS Stream wo vorhanden updateinfo.xml ist, lautet der entsprechende dnf-Befehl für diesen Workflow:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Funktionsupdates einschließen aktiviert ist, mit einer SCHWEREGRAD-Liste von [Critical, Important] und einer KLASSIFIZIERUNG-Liste von [Security, Bugfix]

    Zusätzlich zum Anwenden der Sicherheitsupdates, aus denen ausgewählt wurdeupdateinfo.xml, sofern diese in einem benutzerdefinierten Repository vorhanden sind, Patch Manager wendet nicht sicherheitsrelevante Updates an, die ansonsten den Patch-Filterregeln entsprechen.

    Für CentOS 6 und 7, wo updateinfo.xml vorhanden ist, lautet der entsprechende Yum-Befehl für diesen Workflow:

    sudo yum update --sec-severity=Critical,Important --bugfix -y

    Für CentOS 8 und CentOS Stream wo vorhanden updateinfo.xml ist, lautet der entsprechende dnf-Befehl für diesen Workflow:

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y

    Für Standard-Repositorys und benutzerdefinierte Repositorys ohne updateinfo.xml müssen Sie das Kontrollkästchen Nicht sicherheitsrelevante Updates einschließen aktivieren, um Betriebssystempakete (OS) zu aktualisieren.

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Statuswerte der Patch-Compliance.

So funktionieren Patch-Basisregeln auf Debian Server and Raspberry Pi OS

Ein Debian Server and Raspberry Pi OS (früher Raspbian) bietet der Patch-Baseline-Dienst eine Filterung nach den Feldern Priorität und Abschnitt. Diese Felder sind in der Regel für alle vorhanden Debian Server and Raspberry Pi OS Pakete. Um festzustellen, ob ein Patch anhand der Patch-Baseline ausgewählt wurde, Patch Manager macht Folgendes:

  1. Ein Debian Server and Raspberry Pi OS systems, das Äquivalent von sudo apt-get update wird ausgeführt, um die Liste der verfügbaren Pakete zu aktualisieren. Repos sind nicht konfiguriert und die Daten werden aus Repos abgerufen, die in einer sources-Liste konfiguriert sind.

  2. Wenn eine Aktualisierung für python3-apt (eine Python-Bibliotheks-Schnittstelle zu libapt) verfügbar ist, wird es auf die neueste Version aktualisiert. (Dieses nicht sicherheitsrelevante Paket wird aktualisiert, auch wenn Sie die Option Mit nicht sicherheitsrelevanten Updates nicht ausgewählt haben.)

    Wichtig

    Ein Debian Server Nur 8: Weil Debian Server 8.* Betriebssysteme verweisen auf ein veraltetes Paket-Repository (jessie-backports), Patch Manager führt die folgenden zusätzlichen Schritte durch, um sicherzustellen, dass die Patch-Operationen erfolgreich sind:

    1. Auf Ihrem verwalteten Knoten wird der Verweis auf das Repository jessie-backports aus der Liste der Quellspeicherorte (/etc/apt/sources.list.d/jessie-backports) auskommentiert. Daher wird nicht versucht, Patches von diesem Speicherort herunterzuladen.

    2. Ein Signaturschlüssel für Stretch-Sicherheitsupdates wird importiert. Dieser Schlüssel bietet die erforderlichen Berechtigungen für die Aktualisierungs- und Installationsvorgänge auf Debian Server 8.* Distributionen.

    3. Zu diesem Zeitpunkt wird eine apt-get-Operation ausgeführt, um sicherzustellen, dass die neueste Version von python3-apt installiert ist, bevor der Patch-Prozess beginnt.

    4. Wenn die Installation abgeschlossen ist, wird der Verweis auf das Repository jessie-backports wiederhergestellt und der Signaturschlüssel wird aus dem Schlüsselbund von APT Sources entfernt. Dies erfolgt, damit die Systemkonfiguration so belassen wird, wie sie vor der Patch-Operation war.

  3. Als nächstes die GlobalFilters, ApprovalRules, ApprovedPatches und RejectedPatchesListen werden angewendet.

    Anmerkung

    Weil es nicht möglich ist, die Veröffentlichungsdaten von Updatepaketen für zuverlässig zu ermitteln Debian Server, die Optionen für die automatische Genehmigung werden für dieses Betriebssystem nicht unterstützt.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein. In diesem Fall für Debian Server, Patch-Candidate-Versionen sind auf Patches beschränkt, die in den folgenden Repos enthalten sind:

    Diese Repos werden wie folgt benannt:

    • Debian Server 8: debian-security jessie

    • Debian Server and Raspberry Pi OS 9: debian-security stretch

    • Debian Server 10: debian-security buster

    • Debian Server 11: debian-security bullseye

    • Debian Server 12: debian-security bookworm

    Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.

    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen.

Zum Anzeigen der Inhalte der Felder Priorität und Abschnitt führen Sie den folgenden aptitude-Befehl aus:

Anmerkung

Möglicherweise müssen Sie zuerst Aptitude auf installieren Debian Server Systeme.

aptitude search -F '%p %P %s %t %V#' '~U'

In der Antwort auf diesen Befehl werden alle Pakete, für die ein Upgrade durchgeführt werden kann, in diesem Format gemeldet:

name, priority, section, archive, candidate version

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Statuswerte der Patch-Compliance.

So funktionieren Patch-Basisregeln auf macOS

Ein macOS, das Verfahren zur Patch-Auswahl sieht wie folgt aus:

  1. Auf dem verwalteten Knoten Patch Manager greift auf den analysierten Inhalt der InstallHistory.plist Datei zu und identifiziert Paketnamen und Versionen.

    Einzelheiten zum Parsing-Prozess finden Sie im macOSTabulatortaste eingebenWie Patches installiert werden.

  2. Das Produkt des verwalteten Knotens wird bestimmt durch SSM Agent. Dieses Attribut entspricht dem Wert des Product Identity-Attributs in der Patch-Baseline PatchFilterDatentyp.

  3. Pakete für das Update werden gemäß den folgenden Richtlinien ausgewählt.

    Sicherheitsoption Patch-Auswahl

    Vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Funktionsupdates einschließen nicht ausgewählt wurde

    Für jedes verfügbare Paket-Update wird die Patch-Baseline als Filter verwendet, der nur den qualifizierten Paketen die Aufnahme in das Update erlaubt. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

    Benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Funktionsupdates einschließen aktiviert ist

    Neben den unter Verwendung von InstallHistory.plist identifizierten Sicherheits-Updates wendet Patchmanager auch nicht sicherheitsrelevante Updates an, die ansonsten den Patch-Filterregeln entsprechen.

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Statuswerte der Patch-Compliance.

So funktionieren Patch-Basisregeln auf Oracle Linux

Ein Oracle Linux, das Verfahren zur Patch-Auswahl sieht wie folgt aus:

  1. Auf dem verwalteten Knoten ruft die YUM-Bibliothek die updateinfo.xml-Datei für jedes konfigurierte Repo auf.

    Anmerkung

    Die updateinfo.xml Datei ist möglicherweise nicht verfügbar, wenn das Repo nicht verwaltet wird von Oracle. Falls keine Patches updateinfo.xml gefunden werden, hängt es von den Einstellungen für Nicht sicherheitsrelevante Updates einbeziehen und Automatische Genehmigung ab, ob Patches installiert sind. Wenn beispielsweise nicht sicherheitsrelevante Updates zulässig sind, werden sie installiert, wenn die automatische Genehmigung eintrifft.

  2. Jeder Update-Hinweis in updateinfo.xml enthält mehrere Attribute, die die Eigenschaften der Pakete im Hinweis kennzeichnen, wie in der folgenden Tabelle beschrieben.

    Update-Hinweis-Attribute
    Attribut Beschreibung
    Typ

    Entspricht dem Wert des Schlüsselattributs Classification in der Patch-Baseline PatchFilterDatentyp. Kennzeichnet den Typ des im Update-Hinweis enthaltenen Pakets.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API-Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

    severity

    Entspricht dem Wert des Schlüsselattributs Severity in der Patch-Baseline PatchFilterDatentyp. Kennzeichnet den Schweregrad der im Update-Hinweis enthaltenen Pakete. Gilt in der Regel nur für Update-Hinweise im Hinblick auf die Sicherheit.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API-Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

    update_id

    Kennzeichnet die Advisory ID, wie beispielsweise CVE-2019-17055. Die Advisory-ID kann verwendet werden in ApprovedPatches oder RejectedPatchesAttribut in der Patch-Baseline.

    Referenzen

    Enthält weitere Informationen über den Update-Hinweis, wie beispielsweise eine CVE-ID (Format: CVE-2019-17055) oder eine Bugzilla-ID (Format: 1463241). Die CVE-ID und die Bugzilla-ID können verwendet werden in ApprovedPatches oder RejectedPatchesAttribut in der Patch-Baseline.

    Aktualisiert

    Entspricht ApproveAfterDaysin der Patch-Baseline. Kennzeichnet das Veröffentlichungsdatum (Aktualisierungsdatum) der im Update-Hinweis enthaltenen Pakete. Ein Vergleich zwischen dem aktuellen Zeitstempel und dem Wert dieses Attributs plus ApproveAfterDays wird verwendet, um zu bestimmen, ob der Patch für die Bereitstellung genehmigt wurde.

    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen.

  3. Das Produkt des verwalteten Knotens wird bestimmt durch SSM Agent. Dieses Attribut entspricht dem Wert des Product Identity-Attributs in der Patch-Baseline PatchFilterDatentyp.

  4. Pakete für das Update werden gemäß den folgenden Richtlinien ausgewählt.

    Sicherheitsoption Patch-Auswahl

    Vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Funktionsupdates einschließen nicht ausgewählt wurde

    Für jeden Update-Hinweis in updateinfo.xml wird die Patch-Baseline als Filter verwendet, der nur den qualifizierten Paketen die Aufnahme in das Update erlaubt. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

    Für von Version 7 verwaltete Knoten lautet der entsprechende Yum-Befehl für diesen Workflow:

    sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    Für von Version 8 und 9 verwaltete Knoten lautet der entsprechende DNF-Befehl für diesen Workflow:

    sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

    Benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Funktionsupdates einschließen aktiviert ist, mit einer SCHWEREGRAD-Liste von [Critical, Important] und einer KLASSIFIZIERUNG-Liste von [Security, Bugfix]

    Zusätzlich zur Anwendung der Sicherheitsupdates, die ausgewählt wurdenupdateinfo.xml, Patch Manager wendet nicht sicherheitsrelevante Updates an, die ansonsten den Patch-Filterregeln entsprechen.

    Für von Version 7 verwaltete Knoten lautet der entsprechende Yum-Befehl für diesen Workflow:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Für von Version 8 und 9 verwaltete Knoten lautet der entsprechende DNF-Befehl für diesen Workflow:

    sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Statuswerte der Patch-Compliance.

So funktionieren Patch-Basisregeln auf AlmaLinux RHEL, und Rocky Linux

Auf AlmaLinux, Red Hat Enterprise Linux (RHEL) und Rocky Linux, das Patch-Auswahlverfahren läuft wie folgt ab:

  1. Auf dem verwalteten Knoten befindet sich die YUM-Bibliothek (RHEL 7) oder die DNF-Bibliothek (AlmaLinux 8 und 9, RHEL 8 und 9 und Rocky Linux 8 und 9) greift auf die updateinfo.xml Datei für jedes konfigurierte Repo zu.

    Anmerkung

    Die updateinfo.xml-Datei ist möglicherweise nicht verfügbar, wenn das Repo nicht von Red Hat verwaltet wird. Falls keine updateinfo.xml gefunden werden, wird kein Patch angewendet.

  2. Jeder Update-Hinweis in updateinfo.xml enthält mehrere Attribute, die die Eigenschaften der Pakete im Hinweis kennzeichnen, wie in der folgenden Tabelle beschrieben.

    Update-Hinweis-Attribute
    Attribut Beschreibung
    Typ

    Entspricht dem Wert des Schlüsselattributs Classification in den Patch-Baselines PatchFilterDatentyp. Kennzeichnet den Typ des im Update-Hinweis enthaltenen Pakets.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API-Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

    severity

    Entspricht dem Wert des Schlüsselattributs Severity in der Patch-Baseline PatchFilterDatentyp. Kennzeichnet den Schweregrad der im Update-Hinweis enthaltenen Pakete. Gilt in der Regel nur für Update-Hinweise im Hinblick auf die Sicherheit.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API-Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

    update_id

    Kennzeichnet die Advisory ID, wie etwa RHSA-2017:0864. Die Advisory-ID kann verwendet werden in ApprovedPatches oder RejectedPatchesAttribut in der Patch-Baseline.

    Referenzen

    Enthält weitere Informationen über den Update-Hinweis, wie etwa eine CVE ID (Format: CVE-2017-1000371) oder eine Bugzilla ID (Format: 1463241). Die CVE-ID und die Bugzilla-ID können verwendet werden in ApprovedPatches oder RejectedPatchesAttribut in der Patch-Baseline.

    Aktualisiert

    Entspricht ApproveAfterDaysin der Patch-Baseline. Kennzeichnet das Veröffentlichungsdatum (Aktualisierungsdatum) der im Update-Hinweis enthaltenen Pakete. Ein Vergleich zwischen dem aktuellen Zeitstempel und dem Wert dieses Attributs plus ApproveAfterDays wird verwendet, um zu bestimmen, ob der Patch für die Bereitstellung genehmigt wurde.

    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen.

  3. Das Produkt des verwalteten Knotens wird bestimmt durch SSM Agent. Dieses Attribut entspricht dem Wert des Product Identity-Attributs in der Patch-Baseline PatchFilterDatentyp.

  4. Pakete für das Update werden gemäß den folgenden Richtlinien ausgewählt.

    Sicherheitsoption Patch-Auswahl

    Vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Funktionsupdates einschließen nicht ausgewählt wurde

    Für jeden Update-Hinweis in updateinfo.xml wird die Patch-Baseline als Filter verwendet, der nur den qualifizierten Paketen die Aufnahme in das Update erlaubt. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

    Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. RHEL 7, der entsprechende Yum-Befehl für diesen Workflow lautet:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Für AlmaLinux 8 und 9, RHEL 8 und 9 und Rocky Linux 8 und 9, der entsprechende dnf-Befehl für diesen Workflow lautet:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Funktionsupdates einschließen aktiviert ist, mit einer SCHWEREGRAD-Liste von [Critical, Important] und einer KLASSIFIZIERUNG-Liste von [Security, Bugfix]

    Zusätzlich zur Installation der Sicherheitsupdates, die ausgewählt wurden, updateinfo.xml Patch Manager wendet nicht sicherheitsrelevante Updates an, die ansonsten den Patch-Filterregeln entsprechen.

    Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. RHEL 7, der entsprechende Yum-Befehl für diesen Workflow lautet:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Für AlmaLinux 8 und 9, RHEL 8 und 9 und Rocky Linux 8 und 9, der entsprechende dnf-Befehl für diesen Workflow lautet:

    sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Statuswerte der Patch-Compliance.

So funktionieren Patch-Basisregeln auf SUSE Linux Enterprise Server

Ein SLES, enthält jeder Patch die folgenden Attribute, die die Eigenschaften der Pakete im Patch angeben:

  • Kategorie: Entspricht dem Wert des Schlüsselattributs Classification in den Patch-Baselines PatchFilterDatentyp. Kennzeichnet den Typ des im Update-Hinweis enthaltenen Patches.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API-Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

  • Schweregrad: Entspricht dem Wert des Schlüsselattributs Schweregrad in der Patch-Baseline PatchFilterDatentyp. Kennzeichnet den Schweregrad der Patches.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API-Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

Das Produkt des verwalteten Knotens wird bestimmt durch SSM Agent. Dieses Attribut entspricht dem Wert des Product Identity-Attributs in der Patch-Baseline PatchFilterDatentyp.

Für jeden Patch wird die Patch-Baseline als Filter verwendet, der nur den qualifizierten Paketen die Aufnahme in das Update erlaubt. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

Anmerkung

Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen.

So funktionieren Patch-Basisregeln auf Ubuntu Server

Ein Ubuntu Serverbietet der Patch-Baseline-Dienst eine Filterung nach den Feldern Priorität und Abschnitt. Diese Felder sind in der Regel für alle vorhanden Ubuntu Server Pakete. Um festzustellen, ob ein Patch anhand der Patch-Baseline ausgewählt wurde, Patch Manager macht Folgendes:

  1. Ein Ubuntu Server systems, das Äquivalent von sudo apt-get update wird ausgeführt, um die Liste der verfügbaren Pakete zu aktualisieren. Repos sind nicht konfiguriert und die Daten werden aus Repos abgerufen, die in einer sources-Liste konfiguriert sind.

  2. Wenn eine Aktualisierung für python3-apt (eine Python-Bibliotheks-Schnittstelle zu libapt) verfügbar ist, wird es auf die neueste Version aktualisiert. (Dieses nicht sicherheitsrelevante Paket wird aktualisiert, auch wenn Sie die Option Mit nicht sicherheitsrelevanten Updates nicht ausgewählt haben.)

  3. Als nächstes das GlobalFilters, ApprovalRules, ApprovedPatches und RejectedPatchesListen werden angewendet.

    Anmerkung

    Weil es nicht möglich ist, die Veröffentlichungsdaten von Updatepaketen für zuverlässig zu ermitteln Ubuntu Server, die Optionen für die automatische Genehmigung werden für dieses Betriebssystem nicht unterstützt.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein. In diesem Fall für Ubuntu Server, Patch-Candidate-Versionen sind auf Patches beschränkt, die in den folgenden Repos enthalten sind:

    • Ubuntu Server 14.04 LTS: trusty-security

    • Ubuntu Server 16,04 LTS: xenial-security

    • Ubuntu Server 18,04 LTS: bionic-security

    • Ubuntu Server 20,04 LTS: focal-security

    • Ubuntu Server 20.10 UHR: groovy-security

    • Ubuntu Server 22,04 LTS () jammy-security

    • Ubuntu Server 23,04 () lunar-security

    Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.

    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen.

Zum Anzeigen der Inhalte der Felder Priorität und Abschnitt führen Sie den folgenden aptitude-Befehl aus:

Anmerkung

Möglicherweise müssen Sie zuerst Aptitude auf installieren Ubuntu Server 16 Systeme.

aptitude search -F '%p %P %s %t %V#' '~U'

In der Antwort auf diesen Befehl werden alle Pakete, für die ein Upgrade durchgeführt werden kann, in diesem Format gemeldet:

name, priority, section, archive, candidate version

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Statuswerte der Patch-Compliance.