Creazione di una patch di base personalizzata (Linux) - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una patch di base personalizzata (Linux)

Utilizzare la procedura seguente per creare una linea di base di patch personalizzata per i nodi gestiti Linux inPatch Manager, una funzionalità di AWS Systems Manager.

Per informazioni sulla creazione di una patch di base per i nodi gestiti macOS, vedi Creazione di una patch di base personalizzata (macOS). Per informazioni sulla creazione di una patch di base per i nodi gestiti di Windows, consulta Creazione di una patch di base personalizzata (Windows).

Per creare una patch di base personalizzata per i nodi gestiti da Linux

  1. Aprire la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Patch Manager.

  3. Scegli la scheda Patch di base e quindi Crea patch di base.

    oppure

    Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli Inizia da una panoramica, scegli la scheda Patch di base e quindi Crea una base di patch.

  4. Nel campo Nome inserisci il nome della nuova patch di base, ad esempio MyRHELPatchBaseline.

  5. (Facoltativo) Per Descrizione, inserisci una descrizione per questa patch di base.

  6. Per Sistema operativo, scegli un sistema operativo, ad esempio Red Hat Enterprise Linux.

  7. Se desideri cominciare a utilizzare subito la patch di base appena creata come impostazione predefinita per il sistema operativo selezionato, spunta la casella Rendi predefinita questa patch di base per le istanze di nome del sistema operativo.

    Nota

    Questa opzione è disponibile solo se hai effettuato l'accesso per la prima volta a Patch Manager prima del rilascio delle policy di patch del 22 dicembre 2022.

    Per informazioni sull'impostazione di una patch di base esistente come predefinita, consulta Impostare una base di patch esistente come predefinita.

  8. Nella sezione Regole di approvazione per sistema operativo utilizza i campi per creare una o più regole di approvazione automatica.

    • Prodotti: la versione del sistema operativo a cui si applica la regola di approvazione, ad esempio RedhatEnterpriseLinux7.4. L'opzione predefinita è All.

    • Classificazione: il tipo di patch a cui si applica la regola di approvazione, ad esempio Security o Enhancement. L'opzione predefinita è All.

      Suggerimento

      Puoi configurare una patch di base per controllare se sono installati aggiornamenti di versione secondaria per Linux, ad esempio RHEL 7.8. Aggiornamenti di versione secondari possono essere installati in automatico da Patch Manager a condizione che l'aggiornamento sia disponibile nel repository appropriato.

      Per i sistemi operativi Linux, gli aggiornamenti delle versioni secondari non sono classificati in modo coerente. Possono essere classificati come correzioni di bug o aggiornamenti di sicurezza, o non classificati, anche all'interno della stessa versione del kernel. Ecco alcune opzioni per controllare se una base di patch ne esegue l'installazione.

      • Opzione 1: la regola di approvazione più ampia per garantire l'installazione di aggiornamenti di versioni secondarie quando disponibili consiste nello specificare il campo Classificazione come All (*) e scegliere l'opzione Includi aggiornamenti non relativi alla sicurezza.

      • Opzione 2: per garantire che siano installate patch per una versione del sistema operativo, è possibile utilizzare un carattere jolly (*) per specificare il formato del kernel nella sezione Eccezioni patch della patch di base. Ad esempio, il formato del kernel per RHEL 7.* è kernel-3.10.0-*.el7.x86_64.

        Immettere kernel-3.10.0-*.el7.x86_64 nell'elenco Approved patches (Patch approvate) nella patch di base per assicurarsi che tutte le patch, inclusi gli aggiornamenti delle versioni secondarie, vengano applicate ai nodi gestiti RHEL 7.*. (Se conosci il nome esatto del pacchetto di una patch di versione secondaria, puoi inserirlo quello invece.)

      • Opzione 3: puoi avere il massimo controllo sulle patch applicate ai nodi gestiti, inclusi gli aggiornamenti delle versioni minori, utilizzando il InstallOverrideListparametro nel documento. AWS-RunPatchBaseline Per ulteriori informazioni, consulta Informazioni sul documento SSM AWS-RunPatchBaseline.

    • Gravità: il valore di gravità delle patch a cui si applica la regola, ad esempio Critical. L'opzione predefinita è All.

    • Approvazione automatico: il metodo per selezionare le patch per l'approvazione automatica.

      Nota

      Poiché non è possibile determinare in modo affidabile le date di rilascio dei pacchetti di aggiornamento per Ubuntu Server, le opzioni di approvazione automatica non sono supportate per questo sistema operativo.

      • Approva le patch dopo un determinato numero di giorni: il numero di giorni in cui Patch Manager Patch Manager deve attendere dopo il rilascio o l'ultimo aggiornamento di una patch prima che una patch venga approvata automaticamente. È possibile inserire qualsiasi numero intero da zero (0) a 360. Per la maggior parte degli scenari, consigliamo di attendere non più di 100 giorni.

      • Approva le patch rilasciate fino a una data specifica: la data di rilascio delle patch per la quale Patch Manager applica automaticamente tutte le patch rilasciate o aggiornate prima di tale data (inclusa). Ad esempio, se specifichi il 7 luglio 2023, nessuna patch rilasciata o aggiornata a partire dall'8 luglio 2023 verrà installata automaticamente.

    • (Facoltativo) Report di conformità: il livello di gravità da assegnare alle patch approvate dalla linea di base, ad esempio Critical o High.

      Nota

      Se specifichi un livello di report di conformità e lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

    • Includi aggiornamenti non relativi alla sicurezza: seleziona la casella per installare le patch del sistema operativo Linux non relative alla sicurezza disponibili nel repository di origine, oltre a quelle relative alla sicurezza.

      Nota

      Per SUSE Linux Enterprise Server, (SLES) non è necessario selezionare la casella di controllo perché le patch correlate e non correlate alla sicurezza vengono installate nei nodi gestiti SLES per impostazione predefinita. Per ulteriori informazioni, consulta i contenuti relativi a SLES in Come vengono selezionate le patch di sicurezza.

    Per ulteriori informazioni sulle operazioni con le regole di approvazione in una patch di base personalizzata, consulta Informazioni sulle basi personalizzate.

  9. Per approvare esplicitamente qualsiasi patch oltre a quelle che soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

    • In Patch approvate, inserisci un elenco separato da virgole delle patch che desideri approvare.

      Nota

      Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Informazioni sui formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

    • (Facoltativo) In Livello di conformità patch approvate, assegna un livello di conformità alle patch dell'elenco.

    • Se qualche patch approvata e specificata non è correlata alla sicurezza, seleziona la casella di controllo Includi aggiornamenti non critici per installare anche queste patch sul sistema operativo Linux.

  10. Per rifiutare esplicitamente qualsiasi patch oltre che comunque soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

    • In Patch rifiutate, inserisci un elenco separato da virgole delle patch che desideri rifiutare.

      Nota

      Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Informazioni sui formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

    • In Operazione patch rifiutate, seleziona l'operazione che Patch Manager effettuerà sulle patch incluse nell'elenco Patch rifiutate.

      • Consenti come dipendenza: un pacchetto dell'elenco Patch rifiutate viene installato solo se è incluso automaticamente in un altro pacchetto. È considerato conforme alla linea di base della patch e il suo stato è riportato come. InstalledOther Si tratta dell'operazione predefinita se non viene specificata alcuna opzione.

      • Blocco: i pacchetti nell'elenco delle patch rifiutate e i pacchetti che li includono come dipendenze non vengono installati da in nessun caso. Patch Manager Se un pacchetto è stato installato prima di essere aggiunto all'elenco delle patch rifiutate o viene installato in un Patch Manager secondo momento, viene considerato non conforme alla linea di base delle patch e il suo stato viene riportato come. InstalledRejected

  11. (Facoltativo) Se desideri specificare repository di patch alternativi per diverse versioni di un sistema operativo, ad esempio AmazonLinux2016.03 e AmazonLinux2017.09, procedi come segue per ogni prodotto nella sezione Fonti delle patch:

    • In Nome, inserisci un nome per semplificare l'identificazione della configurazione di origine.

    • In Prodotto, seleziona la versione dei sistemi operativi a cui è destinato il repository di origine delle patch, ad esempio RedhatEnterpriseLinux7.4.

    • In Configuration (Configurazione), immettere il valore della configurazione del repository yum da utilizzare nel seguente formato:

      [main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
      Suggerimento

      Per informazioni sulle altre opzioni disponibili per la configurazione del repository yum, consulta dnf.conf(5).

      Sceglie Aggiungi un'altra origine per specificare un repository di origine per ciascuna versione aggiuntiva del sistema operativo, fino a un massimo di 20.

      Per ulteriori informazioni sui repository di patch di origine alternativi, consulta Come specificare un repository alternativo di origine delle patch (Linux).

  12. (Facoltativo) In Gestisci tag, applica una o più coppie valore-nome di chiave di tag alla patch di base.

    I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare tag a una patch di base per identificare il livello di gravità delle patch che specifica, la famiglia del sistema operativo a cui si applica e il tipo di ambiente. In questo caso è possibile specificare tag simili alle coppie valore-nome di chiave seguenti:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. Scegli Crea una base di patch.