建立自訂修補基準 (Linux) - AWS Systems Manager

建立自訂修補基準 (Linux)

請使用下列程序來在 Patch Manager (AWS Systems Manager 的一項功能) 中建立 Linux 執行個體的自訂修補基準。

如需為 macOS 執行個體建立修補程式基準的資訊,請參閱建立自訂修補基準 (macOS)。如需為 Windows 執行個體建立修補基準的資訊,請參閱 建立自訂修補基準 (Windows)

為 Linux 執行個體建立自訂修補程式基準

  1. 開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的 主控台。https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Patch Manager

    -或-

    如果 AWS Systems Manager 首頁先開啟,選擇選單圖示 ( ) 以開啟導覽窗格,然後選擇 Patch Manager

  3. 選擇 Patch baselines (修補基準) 索引標籤。

  4. 選擇 Create patch baseline (建立修補程式基準)

  5. Name (名稱) 中,為新的修補程式基準輸入一個名稱,例如 MyRHELPatchBaseline

  6. (選用) 在 Description (描述) 中,輸入此修補程式基準的描述。

  7. Operating system (作業系統) 選擇作業系統,例如 Red Hat Enterprise Linux

  8. 如果要在建立所選作業系統時,立即開始將此修補基準做為所選作業系統的預設設定,請核取 Set this patch baseline as the default patch baseline for operating system name instances (將此修補基準設定為「作業系統名稱」執行個體的預設修補基準) 旁的方塊。

    如需有關設定現有修補程式基準為預設的更多資訊,請參閱 將現有的修補基準設為預設值 (主控台)

  9. Approval rules for operating-system (作業系統核准規則) 部分中,使用欄位來建立一或多個自動核准規則。

    • Product (產品):此核准規則適用的作業系統版本,例如 RedhatEnterpriseLinux7.4。預設的選取為 All

    • Classification (分類):此核准規則適用的修補程式類型,例如 SecurityEnhancement。預設的選取為 All

      提示

      您可以設定修補程式基準,以控制是否安裝 Linux 的次要版本升級,例如 RHEL 7.8。Patch Manager 可以自動安裝次要版本升級,前提是適當的存放庫中有可用的更新。

      對於 Linux 作業系統,次要版本升級分類並不一致。即使在相同的核心版本中,它們可能被歸類為錯誤修正或安全更新,或者未歸類。以下是控制是否要安裝修補程式基準的幾個選項。

      • 選項 1:確保在次要版本升級可用時進行安裝的最廣泛核准規則是將 Classification (分類) 指定為 All (*),然後選擇 Include nonsecurity updates (包含非安全更新) 選項。

      • 選項 2:若要確保安裝作業系統版本的修補程式,您可以使用萬用字元 (*),在基準的 Patch exceptions (修補程式例外) 區段中指定其核心格式。例如,RHEL 7.* 的核心格式為 kernel-3.10.0-*.el7.x86_64

        在修補基準的 Approved patches (已核准的修補程式) 清單中輸入 kernel-3.10.0-*.el7.x86_64,確保所有修補程式 (包括次要版本升級) 已套用至 RHEL 7.* 執行個體。(如果您知道次要版本修補程序的確切套件名稱,可以改輸入該名稱。)

      • 選項 3:您可以對哪些修補程式套用至受管執行個體 (包括次要版本升級) 進行最大控制,方法是使用 AWS-RunPatchBaseline 文件中的 InstallOverrideList 參數。如需更多詳細資訊,請參閱 關於 AWS-RunPatchBaseline SSM 文件

    • 核准規則 (嚴重性):此規則適用的修補程式嚴重性值,例如 Critical。預設的選取為 All

    • Auto-approval (自動核准):選取修補程式以進行自動核准的方法。

      注意

      因為無法可靠地判斷 Ubuntu Server 更新套件的發行日期,此作業系統不支援自動核准選項。

      • Approve patches after a specified number of days (指定天數之後核准修補程式):修補程式發佈之後,Patch Manager 自動核准修補程式之前的等待天數。您可以輸入零 (0) 到 360 的任何整數。在大部分情形下,建議等候不要超過 100 天。

      • Approve patches released up to a specific date (核准特定日期前發佈的修補程式):Patch Manager 會自動套用在此發佈日期當天或之前發佈的所有修補程式。例如,如果您指定 2020 年 7 月 7 日,則不會自動安裝在 2020 年 7 月 8 日或之後發佈的修補程式。

    • (選用) Compliance reporting (合規報告):您要指派給基準所核准之修補程式的嚴重性等級,例如 High

      注意

      如果核准的修補程式回報為遺失,您在 Compliance reporting (合規報告) 中選擇的選項,例如 CriticalMedium,將決定違反合規的嚴重性。

    • Include non-security updates (包含非安全性更新):除了安裝安全性相關修補程式之外,選取此核取方塊可安裝來源儲存庫中可用的非安全性修補程式。

      注意

      如果是 SUSE Linux Enterprise Server,(SLES)則無需選取此核取方塊,因為安全性與非安全性問題的修補程式預設都會安裝於 SLES 執行個體。如需詳細資訊,請參閱SLES中的有關 如何選取安全性修補程式 的內容。

    如需有關在自訂修補程式基準中使用核准規則的詳細資訊,請參閱關於自訂基準

  10. 如果您要明確核准符合核准規則之修補程式以外的任何修補程式,請在 Patch exceptions (修補程式例外狀況) 部分執行下列動作:

    • Approved patches (核准的修補程式),輸入您要核准之修補程式的逗號分隔清單。

      注意

      如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

    • (選用) 在 Approved patches compliance level (核准的修補程式合規層級)中,將合規層級指派至清單中的修補程式。

    • 如果您指定的任何核准修補程式都與安全性無關,請選擇 Approved patches include non-security updates (已核准修補程式含非安全性更新) 方塊以便在您的 Linux 作業系統上安裝這些修補程式。

  11. 如果您要明確拒絕任何符合核准規則之修補程式,請在 Patch exceptions (修補程式例外狀況) 部分執行下列動作:

    • Rejected patches (拒絕的修補程式) 中,輸入您要拒絕之修補程式的逗號分隔清單。

      注意

      如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

    • Rejected patches action (已拒絕修補程式動作) 中,選擇要讓 Patch Manager在 Rejected patches (已拒絕修補程式) 清單所包含之修補程式上執行的動作。

      • Allow as dependency (當做相依性允許):只有當套件是其他套件的相依性時,才會安裝 Rejected patches (已拒絕修補程式) 清單中的套件。這被視為符合修補基準,其狀態回報為 InstalledOther。若未指定選項,此為預設動作。

      • Block (封鎖):Rejected patches (已拒絕修補程式) 清單中的套件,以及將這些套件都當做相依性而包含在內的套件,在任何情況下都無法安裝。如果在套件新增至 Rejected patches (已拒絕修補程式) 清單之前安裝該套件,會被視為不符合修補基準,其狀態將回報為 InstalledRejected (InstalledRejected)。

  12. (選用) 如果您要為不同版本的作業系統指定替代的修補程式儲存庫,例如 AmazonLinux2016.03AmazonLinux2017.09,請為 Patch sources (修補程式來源) 部分中的每個產品執行以下動作:

    • Name (名稱) 中輸入一個名稱以協助您識別來源組態。

    • Product (產品) 中,請選取修補程式來源儲存庫適用的作業系統版本,例如 RedhatEnterpriseLinux7.4

    • Configuration (組態) 中輸入要以下列格式使用的 yum 儲存庫組態的值。

      [main] name=MyCustomRepository baseurl=https://my-custom-repository enabled=1
      提示

      如需有關 yum 儲存庫組態可用選項的詳細資訊,請參閱 dnf.conf(5)

      選擇 Add another source (新增其他來源),為每個額外的作業系統版本指定來源儲存庫,最多 20 個。

      如需有關替代來源修補程式儲存庫的詳細資訊,請參閱如何指定替代修補程式來源儲存庫 (Linux)

  13. (選用) 對於 Manage tags (管理標籤),請套用一或多個索引鍵名稱/值對至修補程式基準。

    標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。例如,您可能希望標記修補程式基準,以識別其指定的修補程式的嚴重性等級、其適用的作業系統系列,以及環境類型。在這種情況下,您可以指定類似以下索引鍵名稱/值對的標籤:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  14. 選擇 Create patch baseline (建立修補程式基準)