Linux 보안 업데이트 관리

중요

AWS OpsWorks Stacks은 더 이상 신규 고객을 받지 않습니다. 기존 고객은 2024년 5월 26일까지 OpsWorks 콘솔, API, CLI, CloudFormation 리소스를 정상적으로 사용할 수 있으며, 이때 중단될 예정입니다. 이러한 전환에 대비하려면 가능한 한 빨리 스택을 AWS Systems Manager으로 전환하는 것이 좋습니다. 자세한 정보는 AWS OpsWorks Stacks 수명 종료 관련 자주 묻는 질문 및 AWS Systems Manager 애플리케이션 관리자로 AWS OpsWorks Stacks 애플리케이션 마이그레이션 섹션을 참조하세요.

보안 업데이트

Linux 운영 체제 공급자는 정기적 업데이트를 제공합니다. 이러한 업데이트는 대부분 운영 체제 보안 패치이지만 설치된 패키지에 대한 업데이트도 포함될 수 있습니다. 인스턴스의 운영 체제에 항상 최신 보안 패치가 적용되도록 해야 합니다.

기본적으로 AWS OpsWorks Stacks는 인스턴스 부팅이 완료된 후 설정 중 최신 업데이트를 자동으로 설치합니다. AWS OpsWorks 애플리케이션 재시작과 같은 서비스 중단을 방지하기 위해 Stacks는 인스턴스가 온라인 상태에 도달한 후에는 자동으로 업데이트를 설치하지 않습니다. 그 대신 사용자가 온라인 인스턴스에 대한 업데이트를 직접 관리합니다. 그러므로 중단을 최소화할 수 있습니다.

다음 방법 중 하나를 사용하여 온라인 인스턴스를 업데이트할 것을 권장합니다.

• 새 인스턴스를 생성하여 현재 온라인 인스턴스를 대체합니다. 그런 다음 현재 인스턴스를 삭제합니다.

  새 인스턴스에는 설정 중 최신 보안 패치가 설치됩니다.

• Chef 11.10 또는 이전 스택의 Linux 기반 인스턴스에서는 Update Dependencies 스택 명령을 실행합니다. 이 명령은 지정된 인스턴스에 최신 보안 패치 및 기타 업데이트를 설치합니다.

두 방법 모두에서 AWS OpsWorks Stacks가 yum update(Amazon Linux 및 Red Hat Enterprise Linux(RHEL)) 또는 apt-get update(Ubuntu)를 실행하여 업데이트를 수행합니다. 각 배포는 업데이트를 약간 다르게 처리합니다. 그러므로 연결된 링크에서 정보를 확인하여 업데이트가 인스턴스에 어떤 영향을 미치는지 정확히 파악해야 합니다.

• Amazon Linux – Amazon Linux 업데이트는 보안 패치를 설치하며 패키지 업데이트를 포함한 기능 업데이트도 설치할 수 있습니다.

  자세한 내용은 Amazon Linux AMI FAQ를 참조하십시오.

• Ubuntu – Ubuntu 업데이트는 주로 보안 패치 설치로 국한되지만, 일부 중요 수정을 위한 패키지 업데이트도 설치할 수 있습니다.

  자세한 정보는 LTS - Ubuntu Wiki를 참조하십시오.

• CentOS – CentOS는 전반적으로 이전 버전과의 바이너리 호환성을 유지합니다.

  자세한 정보는 CentOS Product Specifications를 참조하십시오.

• RHEL – RHEL은 전반적으로 이전 버전과의 바이너리 호환성을 유지합니다.

  자세한 정보는 Red Hat Enterprise Linux Life Cycle 단원을 참조하십시오.

특정 패키지 버전을 지정하는 등 업데이트를 더 세밀하게 제어하려면 CreateInstance, UpdateInstance, CreateLayer, 또는 UpdateLayer 작업 또는 이에 상응하는 AWS SDK 방법 또는 AWS CLI 명령을 사용하여 InstallUpdatesOnBoot 파라미터를 false로 설정하여 자동 업데이트를 비활성화할 수 있습니다. 다음 예제는 AWS CLI를 사용하여 기존 계층의 기본 설정으로 InstallUpdatesOnBoot를 비활성화하는 방법을 보여줍니다.

aws opsworks update-layer --layer-id layer ID --no-install-updates-on-boot

그러면 사용자가 업데이트를 직접 관리해야 합니다. 예를 들어 다음 전략 중 하나를 채택할 수 있습니다.

• 적절한 shell 명령을 실행하여 선호하는 업데이트를 설치하는 사용자 지정 레시피를 구현합니다.

  시스템 업데이트가 자연스럽게 수명 주기 이벤트와 매핑되지 않으므로 사용자 지정 쿡북에 레시피를 포함하되 수동으로 레시피를 실행합니다. 패키지 업데이트의 경우 shell 명령 대신 yum_package(Amazon Linux) 또는 apt_package(Ubuntu) 리소스를 사용할 수도 있습니다.

• SSH를 사용하여 각 인스턴스에 로그인하고 수동으로 적절한 명령을 실행합니다.