管理 Linux 安全更新

重要

该 AWS OpsWorks Stacks 服务于 2024 年 5 月 26 日终止，新客户和现有客户均已禁用。我们强烈建议客户尽快将其工作负载迁移到其他解决方案。如果您对迁移有疑问，请通过 re AWS : Post 或通过 Pre mium Su AWS pp ort 与 AWS Support 团队联系。

安全更新

Linux 操作系统提供程序提供定期更新，大部分更新是操作系统安全修补，但也可能包括对已安装程序包的更新。您应确保您的实例操作系统是最新的操作系统并具有最新的安全修补。

默认情况下，在实例完成启动后， AWS OpsWorks Stacks 会在安装过程中自动安装最新的更新。 AWS OpsWorks 为了避免诸如重启应用程序服务器之类的中断，Stacks 不会在实例联机后自动安装更新。由您自行管理联机实例的更新，因此可最大程度地减少中断。

我们建议您使用下列方法之一来更新您的联机实例。

• 创建并启动新实例来替换您当前的联机实例。然后，删除当前实例。

  新实例将具有在设置过程中安装的最新安全修补集。

• 在 Chef 11.10 或更早版本的堆栈中的基于 Linux 的实例上，运行 Update Dependencies 堆栈命令，以在指定实例上安装最新的安全修补集和其他更新。

对于这两种方法， AWS OpsWorks Stacks都通过在亚马逊Linux和红帽企业Linux（RHEL）或 apt-get update Ubuntu上运行yum update来执行更新。每次分发处理更新的方式略有不同，因此您应检查相关链接中的信息以准确了解更新将如何影响您的实例：

• Amazon Linux- Amazon Linux 更新将安装安全补丁并且还可能安装功能更新（包括程序包更新）。

  有关更多信息，请参阅 Amazon Linux AMI 常见问题。

• Ubuntu -更新主要限于安装安全修补，但可能还会针对数量有限的关键修复安装程序包更新。

  有关更多信息，请参阅 LTS - Ubuntu Wiki。

• CentOS - CentOS 更新通常会保留与早期版本的二进制兼容性。

• RHEL - RHEL 更新通常会保留与早期版本的二进制兼容性。

  有关更多信息，请参阅 Red Hat Enterprise Linux 生命周期。

如果您想更好地控制更新，例如指定特定的软件包版本，则可以使用、、或UpdateLayer操作（或等效的 AWS 开发工具包方法或 AWS CLI 命令）来禁用自动更新，将参数设置为。CreateInstanceUpdateInstanceCreateLayerInstallUpdatesOnBootfalse以下示例演示了如何使用 AWS CLI 来禁用作为现有层默认设置的 InstallUpdatesOnBoot。

aws opsworks update-layer --layer-id layer ID --no-install-updates-on-boot

之后，您必须自行管理更新。例如，您可使用下列策略之一：

• 实现一个自定义配方以运行适当 shell 命令来安装您的首选更新。

  由于系统更新不会自然地映射到生命周期事件，因此应在您的自定义说明书中包含该配方，但手动执行。有关程序包更新，您还可使用 yum_package (Amazon Linux) 或 apt_package (Ubuntu) 资源来代替 shell 命令。

• 使用 SSH 登录每个实例并手动运行适当的命令。