管理 Linux 安全性更新

重要

該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命，並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問，請透過 AWS Re: post 或透過進AWS 階 Support 與 AWS Support 團隊聯絡。

安全性更新

Linux 作業系統供應商會提供定期更新；其中大部分都是作業系統安全性修補程式，但也可能包含已安裝套件的更新。您應該確保您的執行個體作業系統處於最新狀態，並含有最新的安全性修補程式。

根據預設， AWS OpsWorks Stacks 會在執行個體完成開機後，在安裝期間自動安裝最新的更新。 AWS OpsWorks 堆疊不會在執行個體上線後自動安裝更新，以避免中斷，例如重新啟動應用程式伺服器。反之，您可以自行管理線上執行個體的更新，將任何中斷降至最低。

我們建議您使用下列其中一個項目，來更新線上執行個體。

• 建立並啟動新的執行個體，以取代目前的線上執行個體。然後刪除目前的執行個體。

  新的執行個體會在設定期間安裝最新的一組安全性修補程式。

• 在 Chef 11.10 或較舊版本堆疊中的 Linux 類型執行個體上，執行更新相依性堆疊命令，以在指定的執行個體上安裝最新一組安全性修補程式和其他更新。

對於這兩種方法， AWS OpsWorks 堆棧通過運yum update行 Amazon Linux 和紅帽企業 Linux（RHEL）或 Ubuntu 執apt-get update行更新。每個分佈處理更新的方式略有不同，因此您應該查看相關連結中的資訊，以確切了解更新會對您的執行個體造成哪些影響：

• Amazon Linux — Amazon Linux 更新會安裝安全修補程式，也可能安裝功能更新，包括套件更新。

  如需詳細資訊，請參閱 Amazon Linux AMI 常見問答集。

• Ubuntu — Ubuntu 更新主要僅限於安裝安全性修補程式，但也可能會安裝套件更新以進行有限數量的重大修正程式。

  如需詳細資訊，請參閱 LTS - Ubuntu Wiki。

• CentOS — CentOS 更新通常會維持與舊版本的二進位相容性。

• RHEL — RHEL 更新通常會維持與舊版的二進位相容性。

  如需詳細資訊，請參閱 Red Hat Enterprise Linux Life Cycle。

如果您想要進一步控制更新 (例如指定特定套件版本)，可以使用CreateInstance、UpdateInstanceCreateLayer、或UpdateLayer動作 (或同等的 AWS SDK 方法或 AWS CLI 命令) 停用自動更新，以將參數設定為。InstallUpdatesOnBoot false下列範例說明如何使用 AWS CLI 來停用 InstallUpdatesOnBoot，以做為現有 layer 的預設設定。

aws opsworks update-layer --layer-id layer ID --no-install-updates-on-boot

接著，您必須自行管理更新。例如，您可以採用下列其中一個策略：

• 實作自訂配方，其可執行適當的 shell 命令以安裝您慣用的更新。

  由於系統更新不會自然對應到生命週期事件，因此請將配方納入您的自訂技術指南中，但以手動方式執行。針對套件更新，您也可以使用 yum_package (Amazon Linux) 或 apt_package (Ubuntu) 資源，而不是 shell 命令。

• 使用 SSH 登入每個執行個體，並手動執行適當的命令。