Membuat dasar patch kustom (Linux) - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat dasar patch kustom (Linux)

Gunakan prosedur berikut untuk membuat baseline patch kustom untuk node terkelola Linux diPatch Manager, kemampuan. AWS Systems Manager

Untuk informasi tentang membuat baseline patch untuk node macOS terkelola, lihat. Membuat dasar patch kustom (macOS) Untuk informasi tentang membuat baseline patch untuk node terkelola Windows, lihat. Membuat dasar patch kustom (Windows)

Untuk membuat baseline patch khusus untuk node yang dikelola Linux

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Patch Manager.

  3. Pilih tab Patch baseline, lalu pilih Create patch baseline.

    -atau-

    Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih Mulai dengan ikhtisar, pilih tab Garis dasar Patch, lalu pilih Buat baseline patch.

  4. Untuk Nama, masukkan nama untuk dasar patch baru Anda, misalnya, MyRHELPatchBaseline.

  5. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk dasar patch ini.

  6. Untuk Sistem operasi, pilih suatu sistem operasi, misalnya, Red Hat Enterprise Linux.

  7. Jika Anda ingin mulai menggunakan dasar patch ini sebagai default untuk sistem operasi yang dipilih segera setelah Anda membuatnya, centang kotak di sebelah Atur dasar patch ini sebagai dasar patch default untuk instans Nama sistem operasi.

    catatan

    Opsi ini hanya tersedia jika Anda pertama kali mengakses Patch Manager sebelum kebijakan tambalan dirilis pada 22 Desember 2022.

    Untuk informasi tentang mengatur dasar patch yang ada sebagai default, lihat Mengatur dasar patch yang ada sebagai default.

  8. Di bagian Aturan persetujuan untuk sistem operasi, gunakan bidang tersebut untuk membuat satu atau lebih aturan persetujuan otomatis.

    • Produk: Versi sistem operasi yang berlaku untuk aturan persetujuan, sepertiRedhatEnterpriseLinux7.4. Pilihan default adalah All.

    • Klasifikasi: Jenis patch yang diberlakukan aturan persetujuan, seperti Security atau Enhancement. Pilihan default adalah All.

      Tip

      Anda dapat mengonfigurasi baseline patch untuk mengontrol apakah upgrade versi minor untuk Linux diinstal, seperti 7.8. RHEL Upgrade versi minor dapat diinstal secara otomatis dengan Patch Manager asalkan pembaruan tersedia di repositori yang sesuai.

      Untuk sistem operasi Linux, pemutakhiran versi minor tidak diklasifikasikan secara konsisten. Mereka dapat diklasifikasikan sebagai perbaikan bug atau pembaruan keamanan, atau tidak diklasifikasikan, bahkan dalam versi kernel yang sama. Berikut ini adalah beberapa pilihan untuk mengendalikan apakah dasar patch menginstalnya.

      • Opsi 1: Aturan persetujuan terluas untuk memastikan pemutakhiran versi minor diinstal ketika tersedia adalah dengan menentukan Klasifikasi sebagai All (*) dan pilih opsi Sertakan pembaruan non-keamanan.

      • Opsi 2: Untuk memastikan patch untuk versi sistem operasi diinstal, Anda dapat menggunakan wildcard (*) untuk menentukan format kernel di bagian Pengecualian patch dari baseline. Sebagai contoh, format kernel untuk RHEL 7.* adalah kernel-3.10.0-*.el7.x86_64.

        Masukkan kernel-3.10.0-*.el7.x86_64 daftar Patch yang disetujui di baseline patch Anda untuk memastikan semua tambalan, termasuk peningkatan versi minor, diterapkan ke node terkelola 7.* Anda. RHEL (Jika Anda tahu persis nama paket dari patch versi minor, Anda dapat memasukkan itu sebagai gantinya.)

      • Opsi 3: Anda dapat memiliki kontrol paling besar atas tambalan mana yang diterapkan ke node terkelola Anda, termasuk peningkatan versi minor, dengan menggunakan InstallOverrideListparameter dalam dokumen. AWS-RunPatchBaseline Untuk informasi selengkapnya, lihat Tentang dokumen SSM AWS-RunPatchBaseline.

    • Kepelikan: Nilai kepelikan patch yang diberlakukan aturan, seperti Critical. Pilihan default adalah All.

    • Persetujuan otomatis: Metode untuk memilih patch untuk persetujuan otomatis.

      catatan

      Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

      • Menyetujui patch setelah beberapa hari tertentu: Jumlah hari Patch Manager untuk menunggu setelah patch dirilis atau terakhir diperbarui sebelum patch secara otomatis disetujui. Anda dapat memasukkan bilangan bulat apa saja dari nol (0) sampai 360. Untuk sebagian besar skenario, kami merekomendasikan untuk menunggu tidak lebih dari 100 hari.

      • Menyetujui patch yang dirilis hingga tanggal tertentu: Tanggal rilis patch yang Patch Manager secara otomatis menerapkan semua patch yang dirilis atau diperbarui pada atau sebelum tanggal tersebut. Misalnya, jika Anda menentukan 7 Juli 2023, tidak ada tambalan yang dirilis atau terakhir diperbarui pada atau setelah 8 Juli 2023, yang diinstal secara otomatis.

    • (Opsional) Pelaporan kepatuhan: Tingkat keparahan yang ingin Anda tetapkan ke tambalan yang disetujui oleh baseline, seperti atau. Critical High

      catatan

      Jika Anda menentukan tingkat pelaporan kepatuhan dan status patch dari setiap patch yang disetujui dilaporkan sebagaiMissing, maka tingkat keparahan kepatuhan yang dilaporkan secara keseluruhan baseline patch adalah tingkat keparahan yang Anda tentukan.

    • Sertakan pembaruan non-keamanan: Pilih kotak centang untuk menginstal patch sistem operasi Linux non-keamanan yang tersedia di repositori sumber, selain patch terkait keamanan.

      catatan

      UntukSUSE Linux Enterprise Server, (SLES) tidak perlu memilih kotak centang karena tambalan untuk masalah keamanan dan nonkeamanan diinstal secara default pada node SLES terkelola. Untuk informasi selengkapnya, lihat konten SLES dalam Cara pemilihan patch keamanan.

    Untuk informasi selengkapnya tentang bekerja dengan aturan persetujuan di dasar patch kustom, lihat Tentang baseline kustom.

  9. Jika Anda ingin secara eksplisit menyetujui patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian Pengecualian patch:

    • Untuk Patch yang disetujui, masukkan daftar patch yang dipisahkan koma yang ingin Anda setujui.

      catatan

      Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Tentang format nama paket untuk daftar patch yang disetujui dan ditolak.

    • (Opsional) Untuk Tingkat kepatuhan patch yang disetujui, tetapkan tingkat kepatuhan pada patch dalam daftar.

    • Jika ada patch yang disetujui yang Anda tentukan tidak terkait dengan keamanan, pilih kotak centang Sertakan pembaruan non-keamanan untuk tambalan ini yang akan diinstal pada sistem operasi Linux Anda juga.

  10. Jika Anda ingin secara eksplisit menolak patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian Pengecualian patch:

    • Untuk Patch yang ditolak, masukkan daftar patch yang dipisahkan koma yang ingin Anda tolak.

      catatan

      Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Tentang format nama paket untuk daftar patch yang disetujui dan ditolak.

    • Untuk tindakan tambalan Ditolak, pilih tindakan yang akan diambil pada tambalan yang disertakan dalam daftar tambalan Ditolak. Patch Manager

      • Diizinkan sebagai dependensi: Sebuah paket di daftar Patch yang ditolak diinstal hanya jika merupakan dependensi dari paket lain. Ini dianggap sesuai dengan baseline patch dan statusnya dilaporkan sebagai. InstalledOther Ini adalah tindakan default jika tidak ada pilihan yang ditentukan.

      • Blokir: Paket dalam daftar tambalan Ditolak, dan paket yang menyertakannya sebagai dependensi, tidak diinstal dalam Patch Manager keadaan apa pun. Jika sebuah paket diinstal sebelum ditambahkan ke daftar tambalan Ditolak, atau diinstal di luar Patch Manager sesudahnya, paket tersebut dianggap tidak sesuai dengan garis dasar tambalan dan statusnya dilaporkan sebagai. InstalledRejected

  11. (Opsional) Jika Anda ingin menentukan repositori patch alternatif untuk versi sistem operasi yang berbeda, seperti AmazonLinux2016.03 dan AmazonLinux2017.09, lakukan hal berikut untuk setiap produk di bagian Sumber Patch:

    • Di Nama, masukkan nama untuk membantu Anda mengidentifikasi konfigurasi sumber.

    • Di Produk, pilih versi sistem operasi yang digunakan untuk repositori sumber patch, seperti RedhatEnterpriseLinux7.4.

    • Di Konfigurasi, masukkan nilai konfigurasi repositori yum yang akan digunakan dalam format berikut:

      [main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
      Tip

      Untuk informasi tentang opsi lain yang tersedia untuk konfigurasi repositori yum Anda, lihat dnf.conf(5).

      Pilih Tambah sumber lain untuk menentukan repositori sumber untuk setiap versi sistem operasi tambahan, hingga maksimum 20.

      Untuk informasi selengkapnya tentang repositori patch sumber alternatif, lihat Cara menentukan repositori sumber patch alternatif (Linux).

  12. (Opsional) Untuk Kelola tag, terapkan satu atau lebih pasangan nama/nilai kunci tag ke dasar patch.

    Tag adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Sebagai contoh, Anda mungkin ingin menandai dasar patch untuk mengidentifikasi tingkat kepelikan patch yang ditentukannya, keluarga sistem operasi tempat patch diterapkan, dan jenis lingkungan. Dalam kasus ini, Anda dapat menentukan tag yang serupa dengan pasangan nama/nilai kunci berikut:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. Pilih Buat dasar patch.