Cara pemilihan patch keamanan - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara pemilihan patch keamanan

Fokus utamaPatch Manager, kemampuan AWS Systems Manager, adalah menginstal pembaruan terkait keamanan sistem operasi pada node yang dikelola. Secara default, Patch Manager tidak menginstal semua tambalan yang tersedia, melainkan serangkaian tambalan yang lebih kecil yang berfokus pada keamanan.

Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau tambalan individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti Common Vulnerability Scoring System (CVSS), atau dari metrik yang dirilis oleh National Vulnerability Database (). NVD

catatan

Pada semua sistem berbasis Linux yang didukung olehPatch Manager, Anda dapat memilih repositori sumber berbeda yang dikonfigurasi untuk node terkelola, biasanya untuk menginstal pembaruan nonsecurity. Untuk informasi, lihat Cara menentukan repositori sumber patch alternatif (Linux).

Pilih dari tab berikut untuk mempelajari cara Patch Manager memilih patch keamanan untuk sistem operasi Anda.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

Repositori yang telah dikonfigurasi sebelumnya ditangani secara berbeda di Amazon Linux 1 dan Amazon Linux 2 daripada di Amazon Linux 2022 dan Amazon Linux 2023.

Di Amazon Linux 1 dan Amazon Linux 2, layanan baseline patch Systems Manager menggunakan repositori yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repositori (repo) yang telah dikonfigurasi sebelumnya pada sebuah node:

Di Amazon Linux 1

  • ID repo: amzn-main/latest

    Nama repo: amzn-main-Base

  • ID repo: amzn-updates/latest

    Nama repo: amzn-updates-Base

Di Amazon Linux 2

  • ID repo: amzn2-core/2/architecture

    Nama repo: Amazon Linux 2 core repository

  • ID repo: amzn2extra-docker/2/architecture

    Nama repo: Amazon Extras repo for docker

catatan

architecture bisa x86_64 atau aarch64.

Instans Amazon Linux 2023 (AL2023) awalnya berisi pembaruan yang tersedia dalam versi AL2 023 dan yang dipilih. AMI Secara default, instans AL2 023 Anda tidak secara otomatis menerima pembaruan keamanan penting dan penting tambahan saat diluncurkan. Sebagai gantinya, dengan peningkatan deterministik melalui fitur repositori berversi di AL2 023, yang diaktifkan secara default, Anda dapat menerapkan pembaruan berdasarkan jadwal yang memenuhi kebutuhan spesifik Anda. Untuk informasi selengkapnya, lihat Peningkatan deterministik melalui repositori berversi di Panduan Pengguna Amazon Linux 2023.

Di Amazon Linux 2022, repositori yang telah dikonfigurasi sebelumnya terkait dengan versi pembaruan paket yang terkunci. Ketika new Amazon Machine Images (AMIs) untuk Amazon Linux 2022 dirilis, mereka dikunci ke versi tertentu. Untuk pembaruan tambalan, Patch Manager ambil versi terkunci terbaru dari repositori pembaruan tambalan dan kemudian memperbarui paket pada node terkelola berdasarkan konten versi terkunci tersebut.

Pada AL2 023, repositori yang telah dikonfigurasi adalah sebagai berikut:

  • ID repo: amazonlinux

    Nama repo: repositori Amazon Linux 2023

Di Amazon Linux 2022 (rilis pratinjau), repositori yang telah dikonfigurasi sebelumnya terkait dengan versi pembaruan paket yang terkunci. Ketika new Amazon Machine Images (AMIs) untuk Amazon Linux 2022 dirilis, mereka dikunci ke versi tertentu. Untuk pembaruan tambalan, Patch Manager ambil versi terkunci terbaru dari repositori pembaruan tambalan dan kemudian memperbarui paket pada node terkelola berdasarkan konten versi terkunci tersebut.

Di Amazon Linux 2022, repositori yang telah dikonfigurasi sebelumnya adalah sebagai berikut:

  • ID repo: amazonlinux

    Nama repo: repositori Amazon Linux 2022

catatan

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

Node terkelola Amazon Linux 1 dan Amazon Linux 2 menggunakan Yum sebagai manajer paket. Amazon Linux 2022 dan Amazon Linux 2023 digunakan DNF sebagai manajer paket.

Kedua manajer paket menggunakan konsep pemberitahuan pembaruan sebagai file bernamaupdateinfo.xml. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Semua paket yang ada dalam pemberitahuan pembaruan dianggap Keamanan olehPatch Manager. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait.

catatan

Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam updateinfo.xml file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

CentOS and CentOS Aliran

Pada CentOS danCentOS Stream, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node yang dikelola. Daftar berikut memberikan contoh untuk CentOS 8.2 fiktif Amazon Machine Image (AMI):

  • ID repo: example-centos-8.2-base

    Nama repo: Example CentOS-8.2 - Base

  • ID repo: example-centos-8.2-extras

    Nama repo: Example CentOS-8.2 - Extras

  • ID repo: example-centos-8.2-updates

    Nama repo: Example CentOS-8.2 - Updates

  • ID repo: example-centos-8.x-examplerepo

    Nama repo: Example CentOS-8.x – Example Repo Packages

catatan

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

CentOS 6 dan 7 node yang dikelola menggunakan Yum sebagai manajer paket. CentOS 8 dan CentOS Stream node digunakan DNF sebagai manajer paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu.

Namun, CentOS dan repo CentOS Stream default tidak dikonfigurasi dengan pemberitahuan pembaruan. Ini berarti itu Patch Manager tidak mendeteksi paket pada CentOS dan CentOS Stream repo default. Patch ManagerUntuk memungkinkan memproses paket yang tidak terkandung dalam pemberitahuan pembaruan, Anda harus mengaktifkan EnableNonSecurity bendera dalam aturan dasar tambalan.

catatan

CentOS dan pemberitahuan CentOS Stream pembaruan didukung. Repo dengan pemberitahuan pembaruan dapat diunduh setelah peluncuran.

Debian Server and Raspberry Pi OS

Pada Debian Server dan Raspberry Pi OS (sebelumnya Raspbian), layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada instance. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara sudo apt-get update.

Paket kemudian di-filter dari repo debian-security codename. Ini berarti bahwa pada setiap versiDebian Server, Patch Manager hanya mengidentifikasi peningkatan yang merupakan bagian dari repo terkait untuk versi tersebut, sebagai berikut:

  • Debian Server8: debian-security jessie

  • Debian Server9: debian-security stretch

  • Debian Server10: debian-security buster

  • Debian Server11: debian-security bullseye

  • Debian Server12: debian-security bookworm

catatan

Hanya pada Debian Server 8: Karena beberapa node terkelola Debian Server 8.* merujuk ke repositori paket usang (jessie-backports), Patch Manager melakukan langkah-langkah tambahan untuk memastikan bahwa operasi penambalan berhasil. Untuk informasi selengkapnya, lihat Cara menginstal patch.

Oracle Linux

PadaOracle Linux, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repo yang telah dikonfigurasi sebelumnya pada sebuah node.

Oracle Linux7:

  • ID repo: ol7_UEKR5/x86_64

    Nama repo: Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

  • ID repo: ol7_latest/x86_64

    Nama repo: Oracle Linux 7Server Latest (x86_64)

Oracle Linux8:

  • ID repo: ol8_baseos_latest

    Nama repo: Oracle Linux 8 BaseOS Latest (x86_64)

  • ID repo: ol8_appstream

    Nama repo: Oracle Linux 8 Application Stream (x86_64)

  • ID repo: ol8_UEKR6

    Nama repo: Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

Oracle Linux9:

  • ID repo: ol9_baseos_latest

    Nama repo: Oracle Linux 9 BaseOS Latest (x86_64)

  • ID repo: ol9_appstream

    Nama repo: Oracle Linux 9 Application Stream Packages(x86_64)

  • ID repo: ol9_UEKR7

    Nama repo: Oracle Linux UEK Release 7 (x86_64)

catatan

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

Oracle Linuxnode terkelola menggunakan Yum sebagai manajer paket, dan Yum menggunakan konsep pemberitahuan pembaruan sebagai file bernama. updateinfo.xml Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.

catatan

Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam updateinfo.xml file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

AlmaLinux, RHEL, and Linux Rocky

Pada AlmaLinux,Red Hat Enterprise Linux, dan Rocky Linux layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada tiga repo yang telah dikonfigurasi sebelumnya pada sebuah node.

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

catatan

Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam updateinfo.xml file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

Red Hat Enterprise Linux7 node terkelola menggunakan Yum sebagai manajer paket. AlmaLinux, Red Hat Enterprise Linux 8, dan node Rocky Linux terkelola digunakan DNF sebagai manajer paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan sebagai file bernama updateinfo.xml. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.

RHEL7
catatan

Repo berikut IDs dikaitkan dengan RHUI 2. RHUI3 diluncurkan pada Desember 2019 dan memperkenalkan skema penamaan yang berbeda untuk IDs repositori Yum. Bergantung pada RHEL -7 tempat AMI Anda membuat node terkelola, Anda mungkin perlu memperbarui perintah Anda. Untuk informasi selengkapnya, lihat Repositori IDs untuk RHEL 7 di AWS Telah Berubah di Portal Pelanggan Red Hat.

  • ID repo: rhui-REGION-client-config-server-7/x86_64

    Nama repo: Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • ID repo: rhui-REGION-rhel-server-releases/7Server/x86_64

    Nama repo: Red Hat Enterprise Linux Server 7 (RPMs)

  • ID repo: rhui-REGION-rhel-server-rh-common/7Server/x86_64

    Nama repo: Red Hat Enterprise Linux Server 7 RH Common (RPMs)

AlmaLinux, 8 RHEL 8, dan Rocky Linux 8

  • ID repo: rhel-8-appstream-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

  • ID repo: rhel-8-baseos-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

  • ID repo: rhui-client-config-server-8

    Nama repo: Red Hat Update Infrastructure 3 Client Configuration Server 8

AlmaLinux 9, RHEL 9, dan Rocky Linux 9

  • ID repo: rhel-9-appstream-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)

  • ID repo: rhel-9-baseos-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)

  • ID repo: rhui-client-config-server-9

    Nama repo: Red Hat Enterprise Linux 9 Client Configuration

SLES

Pada node terkelola SUSE Linux Enterprise Server (SLES), ZYPP pustaka mendapatkan daftar tambalan yang tersedia (kumpulan paket) dari lokasi berikut:

  • Daftar repositori: etc/zypp/repos.d/*

  • Informasi paket: /var/cache/zypp/raw/*

SLESnode terkelola menggunakan Zypper sebagai manajer paket, dan Zypper menggunakan konsep tambalan. Patch hanyalah kumpulan paket yang memperbaiki masalah tertentu. Patch Managermenangani semua paket yang direferensikan dalam tambalan sebagai terkait keamanan. Karena paket individual tidak diberi klasifikasi atau tingkat keparahan, Patch Manager berikan paket atribut tambalan yang menjadi miliknya.

Ubuntu Server

PadaUbuntu Server, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara sudo apt-get update.

Paket kemudian disaring dari codename-security repo, di mana nama kode unik untuk versi rilis, seperti trusty untuk 14. Ubuntu Server Patch Managerhanya mengidentifikasi peningkatan yang merupakan bagian dari repo ini:

  • Ubuntu Server14.04LTS: trusty-security

  • Ubuntu Server16.04LTS: xenial-security

  • Ubuntu Server18.04LTS: bionic-security

  • Ubuntu Server20.04LTS: focal-security

  • Ubuntu Server20.10STR: groovy-security

  • Ubuntu Server22.04 LTS () jammy-security

  • Ubuntu Server23.04 () lunar-security

Windows Server

Pada sistem operasi Microsoft Windows, Patch Manager mengambil daftar pembaruan yang tersedia yang dipublikasikan Microsoft ke Pembaruan Microsoft dan secara otomatis tersedia untuk Layanan Pembaruan Server Windows ()WSUS.

catatan

Patch Managerhanya membuat patch yang tersedia untuk versi sistem Windows Server operasi yang didukung untukPatch Manager. Misalnya, tidak Patch Manager dapat digunakan untuk menambal Windows RT.

Patch Managerterus memantau pembaruan baru di setiap Wilayah AWS. Daftar pembaruan yang tersedia disegarkan di setiap Region setidaknya sekali per hari. Ketika informasi tambalan dari Microsoft diproses, Patch Manager menghapus pembaruan yang digantikan oleh pembaruan selanjutnya dari daftar tambalannya. Oleh karena itu, hanya pembaruan terbaru yang ditampilkan dan tersedia untuk instalasi. Misalnya, jika KB4012214 menggantikanKB3135456, hanya KB4012214 tersedia sebagai pembaruan diPatch Manager.

Demikian pula, Patch Manager dapat menginstal hanya patch yang tersedia pada node terkelola selama waktu operasi patching. Secara default, Windows Server 2019 dan Windows Server 2022 menghapus pembaruan yang digantikan oleh pembaruan selanjutnya. Akibatnya, jika Anda menggunakan ApproveUntilDate parameter dalam baseline Windows Server patch, tetapi tanggal yang dipilih dalam ApproveUntilDate parameter sebelum tanggal tambalan terbaru, maka skenario berikut terjadi:

  • Patch yang digantikan dihapus dari node dan oleh karena itu tidak dapat diinstal menggunakan. Patch Manager

  • Patch pengganti terbaru ada di node tetapi belum disetujui untuk instalasi sesuai tanggal yang ditentukan ApproveUntilDate parameter.

Ini berarti bahwa node terkelola sesuai dalam hal operasi Systems Manager, meskipun patch kritis dari bulan sebelumnya mungkin tidak diinstal. Skenario yang sama ini dapat terjadi saat menggunakan ApproveAfterDays parameter. Karena perilaku patch yang digantikan Microsoft, dimungkinkan untuk menetapkan angka (umumnya lebih besar dari 30 hari) sehingga tambalan untuk Windows Server tidak pernah diinstal jika patch terbaru yang tersedia dari Microsoft dirilis sebelum jumlah hari telah berlalu. ApproveAfterDays Perhatikan bahwa perilaku sistem ini tidak berlaku jika Anda telah memodifikasi pengaturan Windows Global Policy Object (GPO) untuk membuat patch yang diganti tersedia di node terkelola Anda.

catatan

Dalam beberapa kasus, Microsoft merilis patch untuk aplikasi yang tidak menentukan tanggal dan waktu yang diperbarui. Dalam kasus ini, tanggal dan waktu yang diperbarui 01/01/1970 disediakan secara default.