Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara pemilihan patch keamanan
Fokus utamaPatch Manager, kemampuan AWS Systems Manager, adalah menginstal pembaruan terkait keamanan sistem operasi pada node yang dikelola. Secara default, Patch Manager tidak menginstal semua tambalan yang tersedia, melainkan serangkaian tambalan yang lebih kecil yang berfokus pada keamanan.
Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau tambalan individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti Common Vulnerability Scoring System
catatan
Pada semua sistem berbasis Linux yang didukung olehPatch Manager, Anda dapat memilih repositori sumber berbeda yang dikonfigurasi untuk node terkelola, biasanya untuk menginstal pembaruan nonsecurity. Untuk informasi, lihat Cara menentukan repositori sumber patch alternatif (Linux).
Pilih dari tab berikut untuk mempelajari cara Patch Manager memilih patch keamanan untuk sistem operasi Anda.
- Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023
-
Repositori yang telah dikonfigurasi sebelumnya ditangani secara berbeda di Amazon Linux 1 dan Amazon Linux 2 daripada di Amazon Linux 2022 dan Amazon Linux 2023.
Di Amazon Linux 1 dan Amazon Linux 2, layanan baseline patch Systems Manager menggunakan repositori yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repositori (repo) yang telah dikonfigurasi sebelumnya pada sebuah node:
Di Amazon Linux 1
-
ID repo:
amzn-main/latest
Nama repo:
amzn-main-Base
-
ID repo:
amzn-updates/latest
Nama repo:
amzn-updates-Base
Di Amazon Linux 2
-
ID repo:
amzn2-core/2/
architecture
Nama repo:
Amazon Linux 2 core repository
-
ID repo:
amzn2extra-docker/2/
architecture
Nama repo:
Amazon Extras repo for docker
catatan
architecture
bisa x86_64 atau aarch64.Instans Amazon Linux 2023 (AL2023) awalnya berisi pembaruan yang tersedia dalam versi AL2 023 dan yang dipilih. AMI Secara default, instans AL2 023 Anda tidak secara otomatis menerima pembaruan keamanan penting dan penting tambahan saat diluncurkan. Sebagai gantinya, dengan peningkatan deterministik melalui fitur repositori berversi di AL2 023, yang diaktifkan secara default, Anda dapat menerapkan pembaruan berdasarkan jadwal yang memenuhi kebutuhan spesifik Anda. Untuk informasi selengkapnya, lihat Peningkatan deterministik melalui repositori berversi di Panduan Pengguna Amazon Linux 2023.
Di Amazon Linux 2022, repositori yang telah dikonfigurasi sebelumnya terkait dengan versi pembaruan paket yang terkunci. Ketika new Amazon Machine Images (AMIs) untuk Amazon Linux 2022 dirilis, mereka dikunci ke versi tertentu. Untuk pembaruan tambalan, Patch Manager ambil versi terkunci terbaru dari repositori pembaruan tambalan dan kemudian memperbarui paket pada node terkelola berdasarkan konten versi terkunci tersebut.
Pada AL2 023, repositori yang telah dikonfigurasi adalah sebagai berikut:
-
ID repo:
amazonlinux
Nama repo: repositori Amazon Linux 2023
Di Amazon Linux 2022 (rilis pratinjau), repositori yang telah dikonfigurasi sebelumnya terkait dengan versi pembaruan paket yang terkunci. Ketika new Amazon Machine Images (AMIs) untuk Amazon Linux 2022 dirilis, mereka dikunci ke versi tertentu. Untuk pembaruan tambalan, Patch Manager ambil versi terkunci terbaru dari repositori pembaruan tambalan dan kemudian memperbarui paket pada node terkelola berdasarkan konten versi terkunci tersebut.
Di Amazon Linux 2022, repositori yang telah dikonfigurasi sebelumnya adalah sebagai berikut:
-
ID repo:
amazonlinux
Nama repo: repositori Amazon Linux 2022
catatan
Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.
Node terkelola Amazon Linux 1 dan Amazon Linux 2 menggunakan Yum sebagai manajer paket. Amazon Linux 2022 dan Amazon Linux 2023 digunakan DNF sebagai manajer paket.
Kedua manajer paket menggunakan konsep pemberitahuan pembaruan sebagai file bernama
updateinfo.xml
. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Semua paket yang ada dalam pemberitahuan pembaruan dianggap Keamanan olehPatch Manager. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait.catatan
Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam
updateinfo.xml
file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna. -
- CentOS and CentOS Aliran
-
Pada CentOS danCentOS Stream, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node yang dikelola. Daftar berikut memberikan contoh untuk CentOS 8.2 fiktif Amazon Machine Image (AMI):
-
ID repo:
example-centos-8.2-base
Nama repo:
Example CentOS-8.2 - Base
-
ID repo:
example-centos-8.2-extras
Nama repo:
Example CentOS-8.2 - Extras
-
ID repo:
example-centos-8.2-updates
Nama repo:
Example CentOS-8.2 - Updates
-
ID repo:
example-centos-8.x-examplerepo
Nama repo:
Example CentOS-8.x – Example Repo Packages
catatan
Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.
CentOS 6 dan 7 node yang dikelola menggunakan Yum sebagai manajer paket. CentOS 8 dan CentOS Stream node digunakan DNF sebagai manajer paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu.
Namun, CentOS dan repo CentOS Stream default tidak dikonfigurasi dengan pemberitahuan pembaruan. Ini berarti itu Patch Manager tidak mendeteksi paket pada CentOS dan CentOS Stream repo default. Patch ManagerUntuk memungkinkan memproses paket yang tidak terkandung dalam pemberitahuan pembaruan, Anda harus mengaktifkan
EnableNonSecurity
bendera dalam aturan dasar tambalan.catatan
CentOS dan pemberitahuan CentOS Stream pembaruan didukung. Repo dengan pemberitahuan pembaruan dapat diunduh setelah peluncuran.
-
- Debian Server and Raspberry Pi OS
-
Pada Debian Server dan Raspberry Pi OS (sebelumnya Raspbian), layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada instance. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara
sudo apt-get update
.Paket kemudian di-filter dari repo
debian-security
. Ini berarti bahwa pada setiap versiDebian Server, Patch Manager hanya mengidentifikasi peningkatan yang merupakan bagian dari repo terkait untuk versi tersebut, sebagai berikut:codename
-
Debian Server8:
debian-security jessie
-
Debian Server9:
debian-security stretch
-
Debian Server10:
debian-security buster
-
Debian Server11:
debian-security bullseye
-
Debian Server12:
debian-security bookworm
catatan
Hanya pada Debian Server 8: Karena beberapa node terkelola Debian Server 8.* merujuk ke repositori paket usang (
jessie-backports
), Patch Manager melakukan langkah-langkah tambahan untuk memastikan bahwa operasi penambalan berhasil. Untuk informasi selengkapnya, lihat Cara menginstal patch. -
- Oracle Linux
-
PadaOracle Linux, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repo yang telah dikonfigurasi sebelumnya pada sebuah node.
Oracle Linux7:
-
ID repo:
ol7_UEKR5/x86_64
Nama repo:
Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)
-
ID repo:
ol7_latest/x86_64
Nama repo:
Oracle Linux 7Server Latest (x86_64)
Oracle Linux8:
-
ID repo:
ol8_baseos_latest
Nama repo:
Oracle Linux 8 BaseOS Latest (x86_64)
-
ID repo:
ol8_appstream
Nama repo:
Oracle Linux 8 Application Stream (x86_64)
-
ID repo:
ol8_UEKR6
Nama repo:
Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)
Oracle Linux9:
-
ID repo:
ol9_baseos_latest
Nama repo:
Oracle Linux 9 BaseOS Latest (x86_64)
-
ID repo:
ol9_appstream
Nama repo:
Oracle Linux 9 Application Stream Packages(x86_64)
-
ID repo:
ol9_UEKR7
Nama repo:
Oracle Linux UEK Release 7 (x86_64)
catatan
Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.
Oracle Linuxnode terkelola menggunakan Yum sebagai manajer paket, dan Yum menggunakan konsep pemberitahuan pembaruan sebagai file bernama.
updateinfo.xml
Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.catatan
Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam
updateinfo.xml
file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna. -
- AlmaLinux, RHEL, and Linux Rocky
-
Pada AlmaLinux,Red Hat Enterprise Linux, dan Rocky Linux layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada tiga repo yang telah dikonfigurasi sebelumnya pada sebuah node.
Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.
catatan
Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam
updateinfo.xml
file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.Red Hat Enterprise Linux7 node terkelola menggunakan Yum sebagai manajer paket. AlmaLinux, Red Hat Enterprise Linux 8, dan node Rocky Linux terkelola digunakan DNF sebagai manajer paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan sebagai file bernama
updateinfo.xml
. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.- RHEL7
-
catatan
Repo berikut IDs dikaitkan dengan RHUI 2. RHUI3 diluncurkan pada Desember 2019 dan memperkenalkan skema penamaan yang berbeda untuk IDs repositori Yum. Bergantung pada RHEL -7 tempat AMI Anda membuat node terkelola, Anda mungkin perlu memperbarui perintah Anda. Untuk informasi selengkapnya, lihat Repositori IDs untuk RHEL 7 di AWS Telah Berubah di Portal
Pelanggan Red Hat. -
ID repo:
rhui-REGION-client-config-server-7/x86_64
Nama repo:
Red Hat Update Infrastructure 2.0 Client Configuration Server 7
-
ID repo:
rhui-REGION-rhel-server-releases/7Server/x86_64
Nama repo:
Red Hat Enterprise Linux Server 7 (RPMs)
-
ID repo:
rhui-REGION-rhel-server-rh-common/7Server/x86_64
Nama repo:
Red Hat Enterprise Linux Server 7 RH Common (RPMs)
-
- AlmaLinux, 8 RHEL 8, dan Rocky Linux 8
-
-
ID repo:
rhel-8-appstream-rhui-rpms
Nama repo:
Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)
-
ID repo:
rhel-8-baseos-rhui-rpms
Nama repo:
Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)
-
ID repo:
rhui-client-config-server-8
Nama repo:
Red Hat Update Infrastructure 3 Client Configuration Server 8
-
- AlmaLinux 9, RHEL 9, dan Rocky Linux 9
-
-
ID repo:
rhel-9-appstream-rhui-rpms
Nama repo:
Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)
-
ID repo:
rhel-9-baseos-rhui-rpms
Nama repo:
Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)
-
ID repo:
rhui-client-config-server-9
Nama repo:
Red Hat Enterprise Linux 9 Client Configuration
-
- SLES
-
Pada node terkelola SUSE Linux Enterprise Server (SLES), ZYPP pustaka mendapatkan daftar tambalan yang tersedia (kumpulan paket) dari lokasi berikut:
-
Daftar repositori:
etc/zypp/repos.d/*
-
Informasi paket:
/var/cache/zypp/raw/*
SLESnode terkelola menggunakan Zypper sebagai manajer paket, dan Zypper menggunakan konsep tambalan. Patch hanyalah kumpulan paket yang memperbaiki masalah tertentu. Patch Managermenangani semua paket yang direferensikan dalam tambalan sebagai terkait keamanan. Karena paket individual tidak diberi klasifikasi atau tingkat keparahan, Patch Manager berikan paket atribut tambalan yang menjadi miliknya.
-
- Ubuntu Server
-
PadaUbuntu Server, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara
sudo apt-get update
.Paket kemudian disaring dari
repo, di mana nama kode unik untuk versi rilis, seperticodename
-securitytrusty
untuk 14. Ubuntu Server Patch Managerhanya mengidentifikasi peningkatan yang merupakan bagian dari repo ini:-
Ubuntu Server14.04LTS:
trusty-security
-
Ubuntu Server16.04LTS:
xenial-security
-
Ubuntu Server18.04LTS:
bionic-security
-
Ubuntu Server20.04LTS:
focal-security
-
Ubuntu Server20.10STR:
groovy-security
-
Ubuntu Server22.04 LTS ()
jammy-security
-
Ubuntu Server23.04 ()
lunar-security
-
- Windows Server
-
Pada sistem operasi Microsoft Windows, Patch Manager mengambil daftar pembaruan yang tersedia yang dipublikasikan Microsoft ke Pembaruan Microsoft dan secara otomatis tersedia untuk Layanan Pembaruan Server Windows ()WSUS.
catatan
Patch Managerhanya membuat patch yang tersedia untuk versi sistem Windows Server operasi yang didukung untukPatch Manager. Misalnya, tidak Patch Manager dapat digunakan untuk menambal Windows RT.
Patch Managerterus memantau pembaruan baru di setiap Wilayah AWS. Daftar pembaruan yang tersedia disegarkan di setiap Region setidaknya sekali per hari. Ketika informasi tambalan dari Microsoft diproses, Patch Manager menghapus pembaruan yang digantikan oleh pembaruan selanjutnya dari daftar tambalannya. Oleh karena itu, hanya pembaruan terbaru yang ditampilkan dan tersedia untuk instalasi. Misalnya, jika
KB4012214
menggantikanKB3135456
, hanyaKB4012214
tersedia sebagai pembaruan diPatch Manager.Demikian pula, Patch Manager dapat menginstal hanya patch yang tersedia pada node terkelola selama waktu operasi patching. Secara default, Windows Server 2019 dan Windows Server 2022 menghapus pembaruan yang digantikan oleh pembaruan selanjutnya. Akibatnya, jika Anda menggunakan
ApproveUntilDate
parameter dalam baseline Windows Server patch, tetapi tanggal yang dipilih dalamApproveUntilDate
parameter sebelum tanggal tambalan terbaru, maka skenario berikut terjadi:-
Patch yang digantikan dihapus dari node dan oleh karena itu tidak dapat diinstal menggunakan. Patch Manager
-
Patch pengganti terbaru ada di node tetapi belum disetujui untuk instalasi sesuai tanggal yang ditentukan
ApproveUntilDate
parameter.
Ini berarti bahwa node terkelola sesuai dalam hal operasi Systems Manager, meskipun patch kritis dari bulan sebelumnya mungkin tidak diinstal. Skenario yang sama ini dapat terjadi saat menggunakan
ApproveAfterDays
parameter. Karena perilaku patch yang digantikan Microsoft, dimungkinkan untuk menetapkan angka (umumnya lebih besar dari 30 hari) sehingga tambalan untuk Windows Server tidak pernah diinstal jika patch terbaru yang tersedia dari Microsoft dirilis sebelum jumlah hari telah berlalu.ApproveAfterDays
Perhatikan bahwa perilaku sistem ini tidak berlaku jika Anda telah memodifikasi pengaturan Windows Global Policy Object (GPO) untuk membuat patch yang diganti tersedia di node terkelola Anda.catatan
Dalam beberapa kasus, Microsoft merilis patch untuk aplikasi yang tidak menentukan tanggal dan waktu yang diperbarui. Dalam kasus ini, tanggal dan waktu yang diperbarui
01/01/1970
disediakan secara default. -