Creación de una línea de base de revisiones personalizada (Linux) - AWS Systems Manager

Creación de una línea de base de revisiones personalizada (Linux)

Utilice el siguiente procedimiento para crear una base de referencia de revisiones personalizada para nodos administrados de Linux en Patch Manager, una capacidad de AWS Systems Manager.

Para obtener información sobre la creación de una base de referencia de revisiones para nodos administrados macOS, consulte Creación de una base de referencia de parches personalizada (macOS). Para obtener información sobre la creación de una base de referencia de revisiones para nodos administrados de Windows, consulte Creación de una línea de base de revisiones personalizada (Windows).

Para crear una base de referencia de revisiones personalizada para nodos administrados de Linux

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Patch Manager.

  3. Seleccione la pestaña Bases de referencia de parches, y luego Crear una base de referencia de parches.

    -o bien-

    Si va a acceder a Patch Manager por primera vez en la Región de AWS actual, seleccione Comience por la información general, luego la pestaña Bases de referencia de parches y, por último, Crear una base de referencia de parches.

  4. En Nombre, escriba un nombre para la nueva línea de base de revisiones; por ejemplo, MyRHELPatchBaseline.

  5. (Opcional) En Description (Descripción), escriba una descripción para esta línea de base de revisiones.

  6. En Operating system (Sistema operativo) elija un sistema operativo; por ejemplo, Red Hat Enterprise Linux.

  7. Si desea empezar a utilizar esta línea de base de revisiones de forma predeterminada para el sistema operativo seleccionado tan pronto como la haya creado, active la casilla de verificación situada junto a Set this patch baseline as the default patch baseline for operating system name instances (Establecer esta línea de base de revisiones como la línea de base de revisiones para las instancias de [nombre del sistema operativo]).

    nota

    Esta opción solo está disponible si accedió a Patch Manager por primera vez antes de las políticas de parches publicadas el 22 de diciembre de 2022.

    Para obtener información sobre la configuración de una línea de base de revisiones existente como la opción predeterminada, consulte Configuración de una línea de base de revisiones existente como valor predeterminado.

  8. En la sección Approval Rules for operating-systems (Reglas de aprobación para sistemas operativos), use los campos para crear una o varias reglas de aprobación automática.

    • Productos: versión de los sistemas operativos a la que se aplica la regla de aprobación; por ejemplo, RedhatEnterpriseLinux7.4. La selección predeterminada es All.

    • Clasificación: el tipo de revisiones a los que se aplica la regla de aprobación; como Security o Enhancement. La selección predeterminada es All.

      sugerencia

      Puede configurar una línea de base de revisiones para controlar si se instalan actualizaciones de versiones secundarias para Linux, como RHEL 7.8. Patch Manager puede instalar automáticamente actualizaciones de versiones secundarias siempre que la actualización esté disponible en el repositorio adecuado.

      Para los sistemas operativos Linux, las actualizaciones de versiones secundarias no se clasifican de forma consistente. Pueden clasificarse como correcciones de errores o actualizaciones de seguridad, o no clasificarse, incluso dentro de la misma versión del kernel. A continuación se muestran algunas opciones para controlar si una línea de base de revisiones las instala.

      • Opción 1: la regla de aprobación más amplia para garantizar que se instalen actualizaciones de versiones secundarias cuando estén disponibles es especificar Clasificación como All (*) y elegir la opción Incluir las actualizaciones que no sean de seguridad.

      • Opción 2: para asegurarse de que se instalan revisiones para una versión del sistema operativo, puede utilizar un comodín (*) para especificar el formato del kernel en la sección Excepciones de revisiones de la base de referencia. Por ejemplo, el formato del kernel para RHEL 7.* es kernel-3.10.0-*.el7.x86_64.

        Ingrese kernel-3.10.0-*.el7.x86_64 en la lista Approved patches (Revisiones aprobadas) de la base de referencia de revisiones para asegurarse de que todas las revisiones, incluidas las actualizaciones de versiones secundarias, se aplican a los nodos administrados de RHEL 7.*. (Si conoce el nombre exacto del paquete de una revisión de versión secundaria, puede escribirlo en su lugar).

      • Opción 3: puede tener el máximo control sobre qué revisiones se aplican a los nodos administrados, incluidas las actualizaciones de versiones secundarias, mediante el parámetro InstallOverrideList del documento AWS-RunPatchBaseline. Para obtener más información, consulte Acerca del documento AWS-RunPatchBaseline de SSM.

    • Severity (Gravedad): el valor de gravedad de las revisiones a los que se aplica la regla; como Critical. La selección predeterminada es All.

    • Auto-approval (Aprobación automática): método para seleccionar revisiones para su aprobación automática.

      nota

      Debido a que no es posible determinar de forma fiable las fechas de lanzamiento de los paquetes de actualización para Ubuntu Server, las opciones de aprobación automática no son compatibles con este sistema operativo.

      • Approve patches after a specified number of days (Aprobar las revisiones después de una cantidad determinada de días): la cantidad de días que Patch Manager debe esperar después de lanzar o actualizar por última vez una revisión y antes de que se apruebe automáticamente. Puede ingresar cualquier número entero entre cero (0) y 360. En la mayoría de los casos, se recomienda no esperar más de 100 días.

      • Approve patches released up to a specific date (Aprobar las revisiones publicadas hasta una fecha específica): la fecha de lanzamiento de la revisión para la que Patch Manager aplica automáticamente todas las revisiones publicadas o actualizadas en esa fecha o con anterioridad a ella. Por ejemplo, si especifica el 7 de julio de 2023, no se instalarán automáticamente las revisiones publicadas o actualizadas a partir del 8 de julio de 2023.

    • (Opcional). Informes de conformidad: el nivel de gravedad que desea asignar a las revisiones aprobadas por la línea de base, como Critical o High.

      nota

      Si especifica un nivel de notificación de conformidad y se informa el estado de cualquier revisión aprobada como Missing, la gravedad de la conformidad general notificada por la línea de base de revisiones será el nivel de gravedad que especificó.

    • Include non-security updates (Incluir actualizaciones que no son de seguridad): seleccione esta casilla de verificación para instalar las revisiones del sistema operativo Linux que no son de seguridad y que están disponibles en el repositorio de origen, además de las revisiones relacionados con la seguridad.

      nota

      En SUSE Linux Enterprise Server (SLES), no es necesario seleccionar la casilla de verificación, ya que tanto las revisiones de seguridad como las que no lo son se instalan de forma predeterminada en los nodos administrados de SLES. Para obtener más información, consulte el contenido sobre SLES en Cómo se seleccionan las revisiones de seguridad.

    Para obtener más información sobre cómo trabajar con reglas de aprobación en una línea de base de revisiones personalizada, consulte Acerca de las bases de referencia personalizadas.

  9. Si desea aprobar alguna revisión de forma explícita además de los que cumplan las reglas de aprobación, haga lo siguiente en la sección Patch exceptions (Excepciones de revisiones):

    • En Approved patches (revisiones aprobados) escriba una lista separada por comas de las revisiones que desea aprobar.

      nota

      Para obtener información acerca de los formatos aceptados para las Listas de revisiones aprobados y rechazados, consulte Acerca de los formatos de nombre de paquete para listas de parches aprobados y rechazados.

    • (Opcional). En Approved patches compliance level (Nivel de conformidad de revisiones aprobados), asigne un nivel de conformidad a las revisiones de la lista.

    • Si alguna de las revisiones aprobadas que ha especificado no está relacionada con la seguridad, seleccione la casilla de verificación Incluir actualizaciones no relacionadas con la seguridad para que se instalen también estas revisiones en su sistema operativo Linux.

  10. Si desea rechazar alguna revisión de forma explícita que cumpla las reglas de aprobación, haga lo siguiente en la sección Patch exceptions (Excepciones de revisiones):

    • En Rejected patches (revisiones rechazados) escriba una lista separada por comas de las revisiones que desea rechazar.

      nota

      Para obtener información acerca de los formatos aceptados para las Listas de revisiones aprobados y rechazados, consulte Acerca de los formatos de nombre de paquete para listas de parches aprobados y rechazados.

    • En Rejected patches action (Acción de revisiones rechazados), seleccione la acción que Patch Manager realizará en las revisiones de la lista Rejected patches (revisiones rechazados).

      • Allow as dependency (Permitir como dependencia): un paquete en la lista Rejected patches (revisiones rechazados) solo se instala si es una dependencia de otro paquete. Se considera conforme con la línea de base de revisiones y su estado se registra como InstalledOther. Esta es la opción predeterminada si no se especifica ninguna opción.

      • Bloquear: Patch Manager no instala, bajo ninguna circunstancia, los paquetes de la lista Parches rechazados y los paquetes que los incluyen como dependencias. Si un paquete se instaló antes de agregarlo a la lista Parches rechazados, o si luego se instala por fuera de Patch Manager, se considera no conforme con la línea de base de revisiones y su estado se reporta como InstalledRejected.

  11. (Opcional) Si desea especificar repositorios de revisiones alternativos para diferentes versiones de un sistema operativo, como AmazonLinux2016.03 y AmazonLinux2017.09, haga lo siguiente para cada producto en la sección Patch sources (Orígenes de revisiones):

    • En Name (Nombre), escriba un nombre que le ayude a identificar la configuración de origen.

    • En Product (Producto), seleccione la versión de los sistemas operativos a los que va dirigido el repositorio de origen de revisiones, por ejemplo RedhatEnterpriseLinux7.4.

    • En Configuration (Configuración), ingrese el valor de la configuración del repositorio yum que desea utilizar en el siguiente formato:

      [main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
      sugerencia

      Para obtener información sobre otras opciones disponibles para la configuración del repositorio yum, consulte dnf.conf(5).

      Elija Add another source (Añadir otro origen) para especificar un repositorio de origen para cada versión adicional del sistema operativo, hasta un máximo de 20.

      Para obtener más información sobre los repositorios de origen de revisiones alternativos, consulte Cómo especificar un repositorio de origen de parches alternativo (Linux).

  12. (Opcional) En Manage tags (Administrar etiquetas), aplique uno o varios pares de claves nombre/valor al a la línea de base de revisiones.

    Las etiquetas son metadatos opcionales que usted asigna a un recurso. Las etiquetas permiten clasificar los recursos de diversas maneras, por ejemplo, según la finalidad, el propietario o el entorno. Por ejemplo, es posible que desee etiquetar una línea de base de revisiones para identificar el nivel de seguridad de revisiones que especifica, la familia de sistemas operativos a la que se aplica y el tipo de entorno. En este caso, puede especificar etiquetas similares a los siguientes pares de claves nombre-valor:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. Elija Create patch baseline (Crear base de referencia de revisiones).