Linux ベースシステムでのパッチベースラインルールの動作方法 - AWS Systems Manager

Linux ベースシステムでのパッチベースラインルールの動作方法

Linux ディストリビューションのパッチベースラインのルールは、ディストリビューションタイプ別に動作が異なります。Windows Server インスタンスでのパッチ更新とは異なり、ルールはインスタンスごとに評価され、インスタンスに設定されているリポジトリが考慮されます。Patch Managerは、ネイティブのパッケージマネージャーを使用して、パッチベースラインで承認されているパッチをインストールします。

Amazon Linux および Amazon Linux 2 でのパッチベースラインルールの動作方法

Amazon Linux および Amazon Linux 2 の場合、パッチの選択プロセスは次のとおりです。

  1. インスタンスで、YUM ライブラリが各設定済みリポの updateinfo.xml ファイルにアクセスします。

    注記

    updateinfo.xml ファイルが見つからない場合、パッチがインストールされるかどうかは、[承認済みパッチにセキュリティに関連しない更新プログラムを含める] および [自動承認] の設定によって異なります。例えば、セキュリティ以外の更新プログラムが許可されている場合は、自動承認時刻が到来したときにインストールされます。

  2. updateinfo.xml の更新通知ごとに、次の表に示すように、通知内のパッケージのプロパティを表す複数の属性が含まれています。

    更新通知の属性
    属性 説明
    type

    パッチベースラインの PatchFilter データ型の分類キー属性の値に対応します。更新通知に含まれているパッケージのタイプを表します。

    サポートされている値のリストは、AWS CLI コマンド describe-patch-properties または API アクション DescribePatchProperties を使用して表示できます。Systems Manager コンソールの [パッチベースラインの作成] ページまたは [パッチベースラインの編集] ページの [承認ルール] 領域でリストを表示することもできます。

    severity

    パッチベースラインの PatchFilter データ型の重要度キー属性の値に対応します。更新通知に含まれているパッケージの重要度を表します。通常、セキュリティ更新通知にのみ適用されます。

    サポートされている値のリストは、AWS CLI コマンド describe-patch-properties または API アクション DescribePatchProperties を使用して表示できます。Systems Manager コンソールの [パッチベースラインの作成] ページまたは [パッチベースラインの編集] ページの [承認ルール] 領域でリストを表示することもできます。

    update_id

    ALAS-2017-867 などのアドバイザリ ID を表します。アドバイザリ ID は、パッチベースラインの ApprovedPatches 属性または RejectedPatches 属性で使用できます。

    references

    更新通知の詳細情報を示します。CVE ID (形式: CVE-2017-1234567) などが該当します。CVE ID は、パッチベースラインの ApprovedPatches 属性または RejectedPatches 属性で使用できます。

    updated

    パッチベースラインの ApproveAfterDays に対応します。更新通知に含まれているパッケージのリリース日 (更新日) を表します。この属性 (および ApproveAfterDays) の値と現在のタイムスタンプとを比較することで、パッチのデプロイを承認するかどうかが決定されます。

    注記

    承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

  3. インスタンスの結果は SSM エージェント によって決まります。この属性は、パッチベースラインの PatchFilter データ型のプロダクトキー属性の値に対応します。

  4. 更新用のパッケージは、次のガイドラインに従って選択されます。

    セキュリティオプション パッチの選択

    AWS により事前定義されたデフォルトのパッチベースライン、および [Approved patches include non-security updates (承認済みパッチにセキュリティに関連しない更新プログラムを含める)] がオンになっていないカスタムのパッチベースライン

    updateinfo.xml の更新通知ごとに、パッチベースラインがフィルターとして使用され、該当するパッケージのみが更新に取り込まれます。パッチベースラインの定義の適用後に複数のパッケージが該当する場合は、最新バージョンが使用されます。

    このワークフローに該当する yum コマンドは次のとおりです。

    sudo yum update-minimal --sec-severity=critical,important --bugfix -y

    [承認済みパッチにセキュリティ以外の更新が含まれる] チェックボックスがオンのカスタムパッチベースライン

    Patch Manager は、updateinfo.xml から選択したセキュリティ更新を適用するだけでなく、パッチのフィルタリングルールに該当しないセキュリティに関連しない更新を適用します。

    このワークフローに該当する yum コマンドは次のとおりです。

    sudo yum update --security --bugfix -y

パッチのコンプライアンスステータス値については、「パッチコンプライアンス状態の値について」を参照してください。

CentOS でのパッチベースラインルールの動作方法

CentOS の場合、パッチの選択プロセスは次のとおりです。

  1. インスタンスで、YUM ライブラリ (CentOS 6.x および 7.x バージョン) または DNF ライブラリ (CentOS 8.x) が各設定済みリポジトリの updateinfo.xml ファイルにアクセスします。

    注記

    updateinfo.xml がない場合、パッチがインストールされるかどうかは、[承認済みパッチにセキュリティに関連しない更新プログラムを含める] および [自動承認] の設定によって異なります。例えば、セキュリティ以外の更新プログラムが許可されている場合は、自動承認時刻が到来したときにインストールされます。

  2. updateinfo.xml の更新通知ごとに、次の表に示すように、通知内のパッケージのプロパティを表す複数の属性が含まれています。

    更新通知の属性
    属性 説明
    type

    パッチベースラインの PatchFilter データ型の分類キー属性の値に対応します。更新通知に含まれているパッケージのタイプを表します。

    サポートされている値のリストは、AWS CLI コマンド describe-patch-properties または API アクション DescribePatchProperties を使用して表示できます。Systems Manager コンソールの [パッチベースラインの作成] ページまたは [パッチベースラインの編集] ページの [承認ルール] 領域でリストを表示することもできます。

    severity

    パッチベースラインの PatchFilter データ型の重要度キー属性の値に対応します。更新通知に含まれているパッケージの重要度を表します。通常、セキュリティ更新通知にのみ適用されます。

    サポートされている値のリストは、AWS CLI コマンド describe-patch-properties または API アクション DescribePatchProperties を使用して表示できます。Systems Manager コンソールの [パッチベースラインの作成] ページまたは [パッチベースラインの編集] ページの [承認ルール] 領域でリストを表示することもできます。

    update_id

    CVE-2019-17055 などのアドバイザリ ID を表します。アドバイザリ ID は、パッチベースラインの ApprovedPatches 属性または RejectedPatches 属性で使用できます。

    references

    更新通知の詳細情報を示します。CVE ID (形式: CVE-2019-17055) または Bugzilla ID (形式: 1463241) などが該当します。CVE ID と Bugzilla ID は、パッチベースラインの ApprovedPatches 属性または RejectedPatches 属性で使用できます。

    updated

    パッチベースラインの ApproveAfterDays に対応します。更新通知に含まれているパッケージのリリース日 (更新日) を表します。この属性 (および ApproveAfterDays) の値と現在のタイムスタンプとを比較することで、パッチのデプロイを承認するかどうかが決定されます。

    注記

    承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

  3. インスタンスの結果は SSM エージェント によって決まります。この属性は、パッチベースラインの PatchFilter データ型のプロダクトキー属性の値に対応します。

  4. 更新用のパッケージは、次のガイドラインに従って選択されます。

    セキュリティオプション パッチの選択

    AWS により事前定義されたデフォルトのパッチベースライン、および [Approved patches include non-security updates (承認済みパッチにセキュリティに関連しない更新プログラムを含める)] がオンになっていないカスタムのパッチベースライン

    updateinfo.xml の更新通知ごとに、パッチベースラインがフィルターとして使用され、該当するパッケージのみが更新に取り込まれます。パッチベースラインの定義の適用後に複数のパッケージが該当する場合は、最新バージョンが使用されます。

    CentOS 6 および 7 の場合、このワークフローに対応する yum コマンドは次のとおりです。

    sudo yum update-minimal --sec-severity=critical,important --bugfix -y

    CentOS 8 の場合、このワークフローに対応する dnf コマンドは次のとおりです。

    sudo dnf update-minimal --sec-severity=Critical --bugfix -y \ sudo dnf update-minimal --sec-severity=Important --bugfix -y

    [承認済みパッチにセキュリティ以外の更新が含まれる] チェックボックスがオンのカスタムパッチベースライン

    Patch Manager は、updateinfo.xml から選択したセキュリティ更新を適用するだけでなく、パッチのフィルタリングルールに該当しないセキュリティに関連しない更新を適用します。

    CentOS 6 および 7 の場合、このワークフローに対応する yum コマンドは次のとおりです。

    sudo yum update --security --bugfix -y

    CentOS 8 の場合、このワークフローに対応する dnf コマンドは次のとおりです。

    sudo dnf update --security --bugfix -y

パッチのコンプライアンスステータス値については、「パッチコンプライアンス状態の値について」を参照してください。

Debian サーバー でのパッチベースラインルールの動作

Debian サーバー では、パッチベースラインサービスは、Priority フィールドと Section フィールドでフィルタリングを行います。通常、これらのフィールドはすべての Debian サーバー パッケージにあります。Patch Managerは、パッチベースラインでパッチが選択されているかどうかを確認するために以下の操作を行います。

  1. Debian サーバー システムで、sudo apt-get update と同等のコマンドを実行して、利用可能なパッケージのリストを更新します。リポは設定されず、データは sources リストに設定されているリポから取得されます。

    重要

    Debian サーバー 8 の場合のみ: Debian サーバー 8.* オペレーティングシステムはサポートされなくなったパッケージリポジトリ (jessie-backports) を参照するため、Patch Managerはパッチ適用オペレーションが正常に完了するように以下の追加の手順を実行します。

    1. お客様のインスタンスでは、jessie-backports リポジトリへの参照はソース場所リスト (/etc/apt/sources.list.d/jessie-backports) からコメントアウトされています。その結果、その場所からのパッチのダウンロードは試みられません。

    2. Stretch のセキュリティの更新の署名キーがインポートされます。このキーによって、Debian サーバー 8.* ディストリビューションでの更新およびインストールオペレーションに必要なアクセス許可が付与されます。

    3. apt-get オペレーションが実行されて、パッチ適用プロセスを開始する前に最新バージョンの python3-apt がインストールされていることが確認されます。

    4. インストールプロセスが完了すると、jessie-backports リポジトリへの参照が復元され、署名キーが apt ソースキーリングから削除されます。これは、パッチ適用オペレーション前のシステム設定をそのまま残すために行われます。

  2. 次に、GlobalFiltersApprovalRulesApprovedPatches、および RejectedPatches リストが適用されます。

    注記

    Debian サーバー の更新パッケージのリリース日は確定できないため、このオペレーティングシステムでは自動承認オプションがサポートされていません。

    ただし、承認ルールは、パッチベースラインの作成時または最終更新時に [セキュリティ以外の更新を含める] チェックボックスがオンになっているかどうかによっても影響を受けます。

    セキュリティ以外の更新が除外されている場合、暗黙のルールを適用してセキュリティリポのアップグレードを持つパッケージのみを選択します。選択対象の各パッケージは、セキュリティリポに属する適切なバージョン (通常は最新バージョン) のパッケージであることが必要です。この場合、Debian サーバー では、パッチの候補となるバージョンは以下のリポジトリに含まれているパッチに限定されます。

    これらのリポは、次のように名前が付けられます。

    • Debian サーバー 8: debian-security jessie

    • Debian サーバー 9: debian-security stretch

    • Debian サーバー 10: debian-security buster

    セキュリティ以外の更新が含まれている場合は、他のリポジトリからのパッチも考慮されます。

    注記

    承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

[Priority] フィールドと [Section] フィールドの内容を表示するには、次の aptitude コマンドを実行します。

注記

aptitude は Debian サーバー システムにインストールしておく必要があります。

aptitude search -F '%p %P %s %t %V#' '~U'

このコマンドに対するレスポンスで、すべてのアップグレード可能なパッケージが次の形式で報告されます。

name, priority, section, archive, candidate version

パッチのコンプライアンスステータス値については、「パッチコンプライアンス状態の値について」を参照してください。

macOS でのパッチベースラインルールの動作

macOS の場合、パッチの選択プロセスは次のとおりです。

  1. インスタンスで、パッチマネージャーは InstallHistory.plist ファイルの解析済みコンテンツにアクセスし、パッケージ名とバージョンを識別します。

    解析プロセスの詳細については、パッチのインストール方法 の 「macOS」のタブを参照してください。

  2. インスタンスの結果は SSM エージェント によって決まります。この属性は、パッチベースラインの PatchFilter データ型のプロダクトキー属性の値に対応します。

  3. 更新用のパッケージは、次のガイドラインに従って選択されます。

    セキュリティオプション パッチの選択

    AWS により事前定義されたデフォルトのパッチベースライン、および [Approved patches include non-security updates (承認済みパッチにセキュリティに関連しない更新プログラムを含める)] がオンになっていないカスタムのパッチベースライン

    使用可能な更新通知ごとに、パッチベースラインがフィルターとして使用され、該当するパッケージのみが更新に取り込まれます。パッチベースラインの定義の適用後に複数のパッケージが該当する場合は、最新バージョンが使用されます。

    [Approved patches include non-security updates (承認済みパッチにセキュリティに関連しない更新プログラムを含める)] がオンのカスタムパッチベースライン

    パッチマネージャーは、InstallHistory.plist を使用して識別されたセキュリティ更新プログラムを適用するだけでなく、パッチフィルタールールに適合するセキュリティ以外の更新プログラムを適用します。

パッチのコンプライアンスステータス値については、「パッチコンプライアンス状態の値について」を参照してください。

Oracle Linux でのパッチベースラインルールの動作

Oracle Linux の場合、パッチの選択プロセスは次のとおりです。

  1. インスタンスで、YUM ライブラリが各設定済みリポの updateinfo.xml ファイルにアクセスします。

    注記

    updateinfo.xml ファイルは、リポジトリが Oracle で管理されていないと使用できない場合があります。updateinfo.xml がない場合、パッチがインストールされるかどうかは、[承認済みパッチにセキュリティに関連しない更新プログラムを含める] および [自動承認] の設定によって異なります。例えば、セキュリティ以外の更新プログラムが許可されている場合は、自動承認時刻が到来したときにインストールされます。

  2. updateinfo.xml の更新通知ごとに、次の表に示すように、通知内のパッケージのプロパティを表す複数の属性が含まれています。

    更新通知の属性
    属性 説明
    type

    パッチベースラインの PatchFilter データ型の分類キー属性の値に対応します。更新通知に含まれているパッケージのタイプを表します。

    サポートされている値のリストは、AWS CLI コマンド describe-patch-properties または API アクション DescribePatchProperties を使用して表示できます。Systems Manager コンソールの [パッチベースラインの作成] ページまたは [パッチベースラインの編集] ページの [承認ルール] 領域でリストを表示することもできます。

    severity

    パッチベースラインの PatchFilter データ型の重要度キー属性の値に対応します。更新通知に含まれているパッケージの重要度を表します。通常、セキュリティ更新通知にのみ適用されます。

    サポートされている値のリストは、AWS CLI コマンド describe-patch-properties または API アクション DescribePatchProperties を使用して表示できます。Systems Manager コンソールの [パッチベースラインの作成] ページまたは [パッチベースラインの編集] ページの [承認ルール] 領域でリストを表示することもできます。

    update_id

    CVE-2019-17055 などのアドバイザリ ID を表します。アドバイザリ ID は、パッチベースラインの ApprovedPatches 属性または RejectedPatches 属性で使用できます。

    references

    更新通知の詳細情報を示します。CVE ID (形式: CVE-2019-17055) または Bugzilla ID (形式: 1463241) などが該当します。CVE ID と Bugzilla ID は、パッチベースラインの ApprovedPatches 属性または RejectedPatches 属性で使用できます。

    updated

    パッチベースラインの ApproveAfterDays に対応します。更新通知に含まれているパッケージのリリース日 (更新日) を表します。この属性 (および ApproveAfterDays) の値と現在のタイムスタンプとを比較することで、パッチのデプロイを承認するかどうかが決定されます。

    注記

    承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

  3. インスタンスの結果は SSM エージェント によって決まります。この属性は、パッチベースラインの PatchFilter データ型のプロダクトキー属性の値に対応します。

  4. 更新用のパッケージは、次のガイドラインに従って選択されます。

    セキュリティオプション パッチの選択

    AWS により事前定義されたデフォルトのパッチベースライン、および [Approved patches include non-security updates (承認済みパッチにセキュリティに関連しない更新プログラムを含める)] がオンになっていないカスタムのパッチベースライン

    updateinfo.xml の更新通知ごとに、パッチベースラインがフィルターとして使用され、該当するパッケージのみが更新に取り込まれます。パッチベースラインの定義の適用後に複数のパッケージが該当する場合は、最新バージョンが使用されます。

    バージョン 7 インスタンスの場合、このワークフローの同等の yum コマンドは次のとおりです。

    sudo yum update-minimal --sec-severity=important,moderate --bugfix -y

    バージョン 8 インスタンスの場合、このワークフローの同等の dnf コマンドは次のとおりです。

    sudo dnf upgrade-minimal --security --sec-severity Moderate --sec-severity Important

    [Approved patches include non-security updates (承認済みパッチにセキュリティに関連しない更新プログラムを含める)] がオンのカスタムパッチベースライン

    Patch Manager は、updateinfo.xml から選択したセキュリティ更新を適用するだけでなく、パッチのフィルタリングルールに該当しないセキュリティに関連しない更新を適用します。

    バージョン 7 インスタンスの場合、このワークフローの同等の yum コマンドは次のとおりです。

    sudo yum update --security --bugfix

    バージョン 8 インスタンスの場合、このワークフローの同等の dnf コマンドは次のとおりです。

    sudo dnf upgrade --security --bugfix

パッチのコンプライアンスステータス値については、「パッチコンプライアンス状態の値について」を参照してください。

RHEL でのパッチベースラインルールの動作方法

Red Hat Enterprise Linux の場合、パッチの選択プロセスは次のとおりです。

  1. インスタンスで、YUM ライブラリ (RHEL 7) または DNF ライブラリ (RHEL 8) が各設定済みリポジトリの updateinfo.xml ファイルにアクセスします。

    注記

    リポが Red Hat の管理対象外のものであると、updateinfo.xml ファイルは使用できない場合があります。updateinfo.xml が見つからない場合、パッチは適用されません。

  2. updateinfo.xml の更新通知ごとに、次の表に示すように、通知内のパッケージのプロパティを表す複数の属性が含まれています。

    更新通知の属性
    属性 説明
    type

    パッチベースラインの PatchFilter データ型の分類キー属性の値に対応します。更新通知に含まれているパッケージのタイプを表します。

    サポートされている値のリストは、AWS CLI コマンド describe-patch-properties または API アクション DescribePatchProperties を使用して表示できます。Systems Manager コンソールの [パッチベースラインの作成] ページまたは [パッチベースラインの編集] ページの [承認ルール] 領域でリストを表示することもできます。

    severity

    パッチベースラインの PatchFilter データ型の重要度キー属性の値に対応します。更新通知に含まれているパッケージの重要度を表します。通常、セキュリティ更新通知にのみ適用されます。

    サポートされている値のリストは、AWS CLI コマンド describe-patch-properties または API アクション DescribePatchProperties を使用して表示できます。Systems Manager コンソールの [パッチベースラインの作成] ページまたは [パッチベースラインの編集] ページの [承認ルール] 領域でリストを表示することもできます。

    update_id

    RHSA-2017:0864 などのアドバイザリ ID を表します。アドバイザリ ID は、パッチベースラインの ApprovedPatches 属性または RejectedPatches 属性で使用できます。

    references

    更新通知の詳細情報を示します。CVE ID (形式: CVE-2017-1000371) または Bugzilla ID (形式: 1463241) などが該当します。CVE ID と Bugzilla ID は、パッチベースラインの ApprovedPatches 属性または RejectedPatches 属性で使用できます。

    updated

    パッチベースラインの ApproveAfterDays に対応します。更新通知に含まれているパッケージのリリース日 (更新日) を表します。この属性 (および ApproveAfterDays) の値と現在のタイムスタンプとを比較することで、パッチのデプロイを承認するかどうかが決定されます。

    注記

    承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

  3. インスタンスの結果は SSM エージェント によって決まります。この属性は、パッチベースラインの PatchFilter データ型のプロダクトキー属性の値に対応します。

  4. 更新用のパッケージは、次のガイドラインに従って選択されます。

    セキュリティオプション パッチの選択

    AWS により事前定義されたデフォルトのパッチベースライン、および [承認済みパッチにセキュリティ以外の更新が含まれる] チェックボックスがオンになっていないカスタムのパッチベースライン

    updateinfo.xml の更新通知ごとに、パッチベースラインがフィルターとして使用され、該当するパッケージのみが更新に取り込まれます。パッチベースラインの定義の適用後に複数のパッケージが該当する場合は、最新バージョンが使用されます。

    RHEL 7 の場合、このワークフローに対応する yum コマンドは次のとおりです。

    sudo yum update-minimal --sec-severity=critical,important --bugfix -y

    RHEL 8 の場合、このワークフローに対応する yum コマンドは次のとおりです。

    sudo dnf update-minimal --sec-severity=Critical --bugfix -y \ sudo dnf update-minimal --sec-severity=Important --bugfix -y

    [承認済みパッチにセキュリティ以外の更新が含まれる] チェックボックスがオンのカスタムパッチベースライン

    Patch Manager は、updateinfo.xml から選択したセキュリティ更新を適用するだけでなく、パッチのフィルタリングルールに該当しないセキュリティに関連しない更新を適用します。

    RHEL 7 の場合、このワークフローに対応する yum コマンドは次のとおりです。

    sudo yum update --security --bugfix

    RHEL 8 の場合、このワークフローに対応する dnf コマンドは次のとおりです。

    sudo dnf update --security --bugfix

パッチのコンプライアンスステータス値については、「パッチコンプライアンス状態の値について」を参照してください。

SUSE Linux Enterprise Server でのパッチベースラインルールの動作方法

SLES では、各パッチには、パッチ内のパッケージのプロパティを示す以下の属性が含まれます。

  • Category: パッチベースラインの PatchFilter データ型の Classification キー属性の値に対応します。更新通知に含まれているパッチのタイプを表します。

    サポートされている値のリストは、AWS CLI コマンド describe-patch-properties または API アクション DescribePatchProperties を使用して表示できます。Systems Manager コンソールの [パッチベースラインの作成] ページまたは [パッチベースラインの編集] ページの [承認ルール] 領域でリストを表示することもできます。

  • Severity: パッチベースラインの PatchFilter データ型の Severity キー属性の値に対応します。パッチの重要度を示します。

    サポートされている値のリストは、AWS CLI コマンド describe-patch-properties または API アクション DescribePatchProperties を使用して表示できます。Systems Manager コンソールの [パッチベースラインの作成] ページまたは [パッチベースラインの編集] ページの [承認ルール] 領域でリストを表示することもできます。

インスタンスの結果は SSM エージェント によって決まります。この属性は、パッチベースラインの PatchFilter データ型の プロダクト キー属性の値に対応します。

パッチごとに、パッチベースラインがフィルターとして使用され、該当するパッケージのみが更新に含まれます。パッチベースラインの定義の適用後に複数のパッケージが該当する場合は、最新バージョンが使用されます。

注記

承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

Ubuntu Server でのパッチベースラインルールの動作方法

Ubuntu Server では、パッチベースラインサービスは、Priority フィールドと Section フィールドでフィルタリングを行います。通常、これらのフィールドはすべての Ubuntu Server パッケージにあります。Patch Managerは、パッチベースラインでパッチが選択されているかどうかを確認するために以下の操作を行います。

  1. Ubuntu Server システムで、sudo apt-get update と同等のコマンドを実行して使用可能なパッケージのリストを更新します。リポは設定されず、データは sources リストに設定されているリポから取得されます。

  2. 次に、GlobalFiltersApprovalRulesApprovedPatches、および RejectedPatches リストが適用されます。

    注記

    Ubuntu Server の更新プログラムパッケージのリリース日は確定できないため、このオペティングシステムでは自動承認オプションがサポートされていません。

    ただし、承認ルールは、パッチベースラインの作成時または最終更新時に [セキュリティ以外の更新を含める] チェックボックスがオンになっているかどうかによっても影響を受けます。

    セキュリティ以外の更新が除外されている場合、暗黙のルールを適用してセキュリティリポのアップグレードを持つパッケージのみを選択します。選択対象の各パッケージは、セキュリティリポに属する適切なバージョン (通常は最新バージョン) のパッケージであることが必要です。この場合、Ubuntu Server では、パッチ候補バージョンは、以下のリポに含まれているパッチに制限されます。

    • Ubuntu Server 14.04 LTS: trusty-security

    • Ubuntu Server 16.04 LTS: xenial-security

    • Ubuntu Server 18.04 LTS: bionic-security

    • Ubuntu Server 20.04 LTS: focal-security

    • Ubuntu Server 20.10 STR: groovy-gorilla

    セキュリティ以外の更新が含まれている場合は、他のリポジトリからのパッチも考慮されます。

    注記

    承認済みパッチと拒否済みパッチのリストの許容されるフォーマットの詳細については、「承認されたパッチと拒否されたパッチのリストのパッケージ名の形式について」を参照してください。

[Priority] フィールドと [Section] フィールドの内容を表示するには、次の aptitude コマンドを実行します。

注記

必要に応じて、最初に Aptitude を Ubuntu Server 16 システムにインストールします。

aptitude search -F '%p %P %s %t %V#' '~U'

このコマンドに対するレスポンスで、すべてのアップグレード可能なパッケージが次の形式で報告されます。

name, priority, section, archive, candidate version

パッチのコンプライアンスステータス値については、「パッチコンプライアンス状態の値について」を参照してください。