修補基準規則在 Linux 系統上的運作方式 - AWS Systems Manager
修補程式基準規則如何在 Amazon Linux 1、Amazon Linux 2、Amazon 2022 和 Amazon Linux 2023 上運作修補基準規則在 CentOS 和 CentOS Stream 上的運作方式修補基準規則在 Debian Server 和 Raspberry Pi OS 上的運作方式修補基準規則在 macOS 上的運作方式修補基準規則在 Oracle Linux 上的運作方式修補程式基準規則的運作方式 AlmaLinuxRHEL、和 Rocky Linux修補基準規則在 SUSE Linux Enterprise Server 上的運作方式修補基準規則在 Ubuntu Server 上的運作方式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修補基準規則在 Linux 系統上的運作方式

Linux 分發的修補基準中的規則,運作方式依據分發類型而有不同。與Windows Server受管節點上的修補程式更新不同,系統會在每個節點上評估規則,以便將執行個體上設定的存放庫納入考量。 Patch Manager的 AWS Systems Manager功能使用原生套件管理員來驅動修補程式基準核准的修補程式安裝。

對於報告修補程式嚴重性級別的 Linux 作業系統類型,Patch Manager 使用軟體發佈者為更新通知或個別修補程式報告的嚴重性級別。Patch Manager 不會從第三方來源推導出嚴重性級別,例如通用漏洞評分系統 (CVSS),或者美國國家漏洞資料庫 (NVD) 發佈的指標。

修補程式基準規則如何在 Amazon Linux 1、Amazon Linux 2、Amazon 2022 和 Amazon Linux 2023 上運作

在 Amazon Linux 1,Amazon Linux 2,Amazon Linux 2022 和 Amazon Linux 2023,修補程序選擇過程如下:

  1. 在受管節點上,YUM 程式庫 (Amazon Linux 1 和 Amazon Linux 2) 或 DNF 程式庫 (Amazon 2022 和 Amazon Linux 2023) 會存取每個已設定存放庫的updateinfo.xml檔案。

    注意

    如果沒有找到 updateinfo.xml 檔案,是否安裝修補程式取決於包含非安全性更新自動核准的設定。例如,如果允許非安全性更新,則會在自動核准時間到達時進行安裝。

  2. updateinfo.xml 中的每個更新通知皆包含數個屬性,以表示通知中的套件的屬性,如下表所述。

    更新通知屬性
    屬性 描述
    type

    對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。

    您可以使用 AWS CLI 命令describe-patch-properties或 API 作業來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
    severity

    對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。

    您可以使用 AWS CLI 命令describe-patch-properties或 API 作業來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
    update_id

    表示諮詢 ID,例如 ALAS-2017-867。諮詢 ID 可用於修補程式基準中的 ApprovedPatchesRejectedPatches 屬性。
    參考

    包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2017-1234567)。CVE ID 可用於修補程式基準中的 ApprovedPatchesRejectedPatches 屬性。
    已更新

    對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較,可用於判斷修補程式是否已核准部署。
    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

  3. 受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

  4. 已根據以下指導方針選取欲更新之套件:

    安全性選項 修補程式選擇

    AWS 提供的預先定義預設修補基準和自訂修補基準,其中包含非安全性更新核取方塊選取。

    對於 updateinfo.xml 中的每個更新通知,修補基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。

    對於 Amazon Linux 1 和 Amazon Linux 2,這個工作流程的等效 yum 命令是:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    針對 Amazon Linux 2022 和 Amazon Linux 2023,此工作流程的同等 yum 命令為:

    sudo dnf upgrade-minimal --sec-severity=Critical--sec-severity=Important --bugfix -y

    自訂修補程式基準,其中選取包含非安全性更新核取方塊,且嚴重性清單為 [Critical, Important] ,分類清單為 [Security, Bugfix]

    除了套用從 updateinfo.xml 中選擇的安全性更新外,Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。

    針對 Amazon Linux 和 Amazon Linux 2,此工作流程的同等 yum 命令為:

    sudo yum update-minimal --security --sec-severity=Critical,Important --bugfix -y

    針對 Amazon Linux 2022 和 Amazon Linux 2023,此工作流程的同等 yum 命令為:

    sudo dnf upgrade-minimal --security --sec-severity=Critical --sec=severity=Imporant --bugfix -y

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補基準規則在 CentOS 和 CentOS Stream 上的運作方式

CentOS 和CentOS Stream預設的儲存庫並不包含updateinfo.xml檔案。但是,您建立或使用的自訂儲存庫可能包含此檔案。在本主題中,僅updateinfo.xml套用至這些自訂儲存庫的參考資料。

在 CentOS 和 CentOS Stream 上,修補程式選擇程序如下:

  1. 在受管理的節點上,YUM 程式庫(在 CentOS 6.x 和 7.x 版本上)或 DNF 程式庫(在 CentOS 8.x 和 CentOS 串流上)會存取檔案(如果它存在於自訂儲存庫中),以便為每個已設定的軟體庫存取updateinfo.xml檔案。

    如果updateinfo.xml找不到 (一律包含預設存放庫),則是否安裝修補程式取決於 [包含非安全性更新] 和 [自動核准] 的設定。例如,如果允許非安全性更新,則會在自動核准時間到達時進行安裝。

  2. 如果存updateinfo.xml在,檔案中的每個更新通知都包含數個屬性,這些屬性表示通知中的套裝軟體的特性,如下表所述。

    更新通知屬性
    屬性 描述
    type

    對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。

    您可以使用 AWS CLI 命令describe-patch-properties或 API 作業來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
    severity

    對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。

    您可以使用 AWS CLI 命令describe-patch-properties或 API 作業來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
    update_id

    表示諮詢 ID,例如 CVE-2019-17055。諮詢 ID 可用於修補程式基準中的 ApprovedPatchesRejectedPatches 屬性。
    參考

    包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2019-17055) 或 Bugzilla ID (格式:1463241)。CVE ID 與 Bugzilla ID 可用於修補程式基準中的 ApprovedPatchesRejectedPatches 屬性。
    已更新

    對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較,可用於判斷修補程式是否已核准部署。
    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

  3. 在所有情況下,受管理節點的產品均由決定SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

  4. 已根據以下指導方針選取欲更新之套件:

    安全性選項 修補程式選擇

    AWS 提供的預先定義預設修補基準和自訂修補基準,其中包含非安全性更新核取方塊選取。

    對於中的每個更新通知updateinfo.xml,如果它存在於自訂存放庫中,則會使用修補程式基準做為篩選器,僅允許合格的套件包含在更新中。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。

    對於存在updateinfo.xml的 CentOS 6 和 7 而言,此工作流程的等效 yum 指令為:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    對於 CentOS 8 及CentOS Stream其中存在updateinfo.xml的地方,此工作流程的等效 dnf 指令為:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    自訂修補程式基準,其中選取包含非安全性更新核取方塊,且嚴重性清單為 [Critical, Important],分類清單為 [Security, Bugfix]

    除了套用從中選取的安全性更新之外updateinfo.xml,如果它存在Patch Manager於自訂存放庫中,則會套用符合修補程式篩選規則的非安全性更新。

    對於存在updateinfo.xml的 CentOS 6 和 7 而言,此工作流程的等效 yum 指令為:

    sudo yum update --sec-severity=Critical,Important --bugfix -y

    對於 CentOS 8 及CentOS Stream其中存在updateinfo.xml的地方,此工作流程的等效 dnf 指令為:

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity="Important" --bugfix -y

    對於沒有預設存放庫和自訂存放庫updateinfo.xml,您必須選取 [包含非安全性更新] 核取方塊,才能更新作業系統 (OS) 套件。

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補基準規則在 Debian Server 和 Raspberry Pi OS 上的運作方式

在 Debian Server 和 Raspberry Pi OS 上 (之前為 Raspbian),修補基準服務提供篩選 Priority (優先順序) 與 Section (區段) 欄位操作。這些欄位通常會顯示所有 Debian Server 和 Raspberry Pi OS 套件。為了判斷修補程式是否已被修補基準選取,Patch Manager 會執行下列動作:

  1. 在 Debian Server 和 Raspberry Pi OS 系統上,會執行與 sudo apt-get update 相當的命令以重新整理可用套件清單。儲存區未設定,資料從設定於 sources 清單中的儲存區提取。

  2. 若有可用於 python3-apt (libapt 的 Python 程式庫界面) 的更新,它會升級到最新版本。(這個非安全性套件會升級,即使您未選取 Include nonsecurity updates (包含非安全性更新) 選項)。

    重要

    僅限於 Debian Server 8 上:由於 Debian Server 8.* 作業系統會參考已淘汰的套件庫 (jessie-backports),因此 Patch Manager 會執行下列額外的步驟以確保修補操作成功。

    1. 在您的受管節點上,對 jessie-backports 儲存庫的參考從來源位置清單 (/etc/apt/sources.list.d/jessie-backports) 會變更為註解。因此,不會嘗試從該位置下載修補程式,

    2. 並會匯入延展安全性更新簽署金鑰。此金鑰提供了 Debian Server 8.* 發行版本的更新和安裝操作所需的許可。

    3. 系統此時會執行 apt-get 操作以確保在修補程式開始之前已安裝最新版本的 python3-apt

    4. 安裝程序完成後,會還原對 jessie-backports 儲存庫的參考,並從 apt 來源金鑰環中移除簽署金鑰。這麼做是為了讓系統組態保持在修補操作之前的狀態。

  3. 接著,將套用 GlobalFiltersApprovalRulesApprovedPatchesRejectedPatches 清單。

    注意

    因為無法可靠地判斷 Debian Server 更新套件的發行日期,此作業系統不支援自動核准選項。

    然而,核准規則也受限於建立或最後更新修補基準時,是否已選取 Include nonsecurity updates (包含非安全性更新) 核取方塊。

    如果非安全更新被排除,將會套用隱含規則,以僅選擇安全儲存庫中包含升級的套件。對於每個套件,套件的候選版本 (通常是最新版本) 必須是安全儲存庫的一部分。在這種情形下,對於 Debian Server 來說,修補候選版本僅限於以下儲存庫中包含的修補程式:

    這些儲存庫的命名如下:

    • Debian Server 8︰debian-security jessie

    • Debian Server 和 Raspberry Pi OS 9︰debian-security stretch

    • Debian Server十:debian-security buster

    • Debian Serverdebian-security bullseye

    • Debian Serverdebian-security bookworm

    如果包含非安全性更新,則也會考慮來自其他儲存庫的修補程式。

    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

若要檢視 Priority (優先順序)Section (區段) 欄位的內容,請執行下列 aptitude 命令:

注意

您可能必須先在 Debian Server 系統上安裝 Aptitude。

aptitude search -F '%p %P %s %t %V#' '~U'

在此命令的回應中,所有可升級的套裝將以此格式回報:

name, priority, section, archive, candidate version

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補基準規則在 macOS 上的運作方式

在 macOS 上,修補程式選擇程序如下:

  1. 在受管節點上,Patch Manager 會存取 InstallHistory.plist 檔案已剖析的內容,並識別套件名稱和版本。

    如需剖析程序的詳細資訊,請參閱 如何安裝修補程式 中的 macOS 索引標籤。

  2. 受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

  3. 已根據以下指導方針選取欲更新之套件:

    安全性選項 修補程式選擇

    AWS 提供的預先定義預設修補基準和自訂修補基準,其中包含非安全性更新核取方塊選取。

    對於每個可用套件更新,修補基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。

    選取包含非安全性更新核取方塊的自訂修補基準。

    除了套用使用 InstallHistory.plist 進行識別的安全性更新外,修補程式管理員也將套用符合修補程式篩選規則的非安全性更新。

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補基準規則在 Oracle Linux 上的運作方式

在 Oracle Linux 上,修補程式選擇程序如下:

  1. 在受管節點上,YUM 程式庫存取每個已設定之儲存庫的 updateinfo.xml 檔案。

    注意

    如果儲存庫不是由 Oracle 管理的,則可能沒有 updateinfo.xml 檔案。如果沒有找到 updateinfo.xml,是否安裝修補程式取決於包含非安全性更新自動核准的設定。例如,如果允許非安全性更新,則會在自動核准時間到達時進行安裝。

  2. updateinfo.xml 中的每個更新通知皆包含數個屬性,以表示通知中的套件的屬性,如下表所述。

    更新通知屬性
    屬性 描述
    type

    對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。

    您可以使用 AWS CLI 命令describe-patch-properties或 API 作業來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
    severity

    對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。

    您可以使用 AWS CLI 命令describe-patch-properties或 API 作業來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
    update_id

    表示諮詢 ID,例如 CVE-2019-17055。諮詢 ID 可用於修補程式基準中的 ApprovedPatchesRejectedPatches 屬性。
    參考

    包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2019-17055) 或 Bugzilla ID (格式:1463241)。CVE ID 與 Bugzilla ID 可用於修補程式基準中的 ApprovedPatchesRejectedPatches 屬性。
    已更新

    對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較,可用於判斷修補程式是否已核准部署。
    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

  3. 受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

  4. 已根據以下指導方針選取欲更新之套件:

    安全性選項 修補程式選擇

    AWS 提供的預先定義預設修補基準和自訂修補基準,其中包含非安全性更新核取方塊選取。

    對於 updateinfo.xml 中的每個更新通知,修補基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。

    對於版本 7 受管節點,此工作流程的同等 yum 命令為:

    sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    對於版本 8 和 9 受管節點,此工作流程的同等 dnf 命令為:

    sudo dnf upgrade-minimal --security --sec-severity Moderate --sec-severity Important

    自訂修補程式基準,其中選取包含非安全性更新,且嚴重性清單為 [Critical, Important],分類清單為 [Security, Bugfix]

    除了套用從 updateinfo.xml 中選擇的安全性更新外,Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。

    對於版本 7 受管節點,此工作流程的同等 yum 命令為:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    對於版本 8 和 9 受管節點,此工作流程的同等 dnf 命令為:

    sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補程式基準規則的運作方式 AlmaLinuxRHEL、和 Rocky Linux

開啟 AlmaLinux、Red Hat Enterprise Linux (RHEL) 和Rocky Linux,修補程式選取程序如下:

  1. 在受管理的節點上,YUM 程式庫 (RHEL7) 或 DNF 程式庫 (AlmaLinux 8 和 9、RHEL 8 和 9,以及 Rocky Linux 8 和 9) 會存取每個已設定存放庫的updateinfo.xml檔案。

    注意

    如果儲存庫不是由 Red Hat 管理的,則可能沒有 updateinfo.xml 檔案。如果沒有 updateinfo.xml,將不會套用任何修補程式。

  2. updateinfo.xml 中的每個更新通知皆包含數個屬性,以表示通知中的套件的屬性,如下表所述。

    更新通知屬性
    屬性 描述
    type

    對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。

    您可以使用 AWS CLI 命令describe-patch-properties或 API 作業來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
    severity

    對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。

    您可以使用 AWS CLI 命令describe-patch-properties或 API 作業來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
    update_id

    表示諮詢 ID,例如 RHSA-2017:0864。諮詢 ID 可用於修補程式基準中的 ApprovedPatchesRejectedPatches 屬性。
    參考

    包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2017-1000371) 或 Bugzilla ID (格式:1463241)。CVE ID 與 Bugzilla ID 可用於修補程式基準中的 ApprovedPatchesRejectedPatches 屬性。
    已更新

    對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上 ApproveAfterDays 之間的比較,可用於判斷修補程式是否已核准部署。
    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

  3. 受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

  4. 已根據以下指導方針選取欲更新之套件:

    安全性選項 修補程式選擇

    AWS 提供的預先定義預設修補基準和自訂修補基準,其中在任何規則中選取包含非安全性更新核取方塊

    對於 updateinfo.xml 中的每個更新通知,修補基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。

    針對 RHEL 7,此工作流程的同等 yum 命令為:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    對於 AlmaLinux 8 和 9,RHEL8 和 9,以及 Rocky Linux 8 和 9,這個工作流程的等效 dnf 命令是:

    sudo dnf upgrade-minimal --sec-severity=Critical  --sec-severity=Important --bugfix -y

    自訂修補程式基準,其中選取包含非安全性更新核取方塊,且嚴重性清單為 [Critical, Important],分類清單為 [Security, Bugfix]

    除了套用從 updateinfo.xml 中選擇的安全性更新外,Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。

    針對 RHEL 7,此工作流程的同等 yum 命令為:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    對於 AlmaLinux 8 和 9,RHEL8 和 9,以及 Rocky Linux 8 和 9,這個工作流程的等效 dnf 命令是:

    sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值

修補基準規則在 SUSE Linux Enterprise Server 上的運作方式

在 SLES 上,每個修補程式皆包含下列屬性,以表示修補程式中的套件的屬性:

  • 分類:對應至修補基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的修補程式類型。

    您可以使用 AWS CLI 命令describe-patch-properties或 API 作業來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

  • 嚴重性:對應至修補基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示修補程式的嚴重性。

    您可以使用 AWS CLI 命令describe-patch-properties或 API 作業來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。

受管節點的產物取決於 SSM Agent。此屬性對應至修補基準之 PatchFilter 資料類型中的產品金鑰屬性的值。

對於每個修補程式,修補基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。

注意

如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

修補基準規則在 Ubuntu Server 上的運作方式

在 Ubuntu Server 上,修補基準服務提供篩選 Priority (優先順序)Section (區段) 欄位。這些欄位通常會顯示所有 Ubuntu Server 套件。為了判斷修補程式是否已被修補基準選取,Patch Manager 會執行下列動作:

  1. 在 Ubuntu Server 系統上,會執行與 sudo apt-get update 相當的命令以重新整理可用套件清單。儲存區未設定,資料從設定於 sources 清單中的儲存區提取。

  2. 若有可用於 python3-apt (libapt 的 Python 程式庫界面) 的更新,它會升級到最新版本。(這個非安全性套件會升級,即使您未選取 Include nonsecurity updates (包含非安全性更新) 選項)。

  3. 接著,將套用 GlobalFiltersApprovalRulesApprovedPatchesRejectedPatches 清單。

    注意

    因為無法可靠地判斷 Ubuntu Server 更新套件的發行日期,此作業系統不支援自動核准選項。

    然而,核准規則也受限於建立或最後更新修補基準時,是否已選取 Include nonsecurity updates (包含非安全性更新) 核取方塊。

    如果非安全更新被排除,將會套用隱含規則,以僅選擇安全儲存庫中包含升級的套件。對於每個套件,套件的候選版本 (通常是最新版本) 必須是安全儲存庫的一部分。在這種情形下,對於 Ubuntu Server 來說,修補候選版本僅限於以下儲存庫中包含的修補程式:

    • Ubuntu Server 14.04 LTS︰trusty-security

    • Ubuntu Server 16.04 LTS︰xenial-security

    • Ubuntu Server 18.04 LTS︰bionic-security

    • Ubuntu Server 20.04 LTS︰focal-security

    • Ubuntu Server 20.10 STR︰groovy-security

    • Ubuntu Server 22.04 LTS (jammy-security)

    • Ubuntu Server二月四日 lunar-security

    如果包含非安全性更新,則也會考慮來自其他儲存庫的修補程式。

    注意

    如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

若要檢視 Priority (優先順序)Section (區段) 欄位的內容,請執行下列 aptitude 命令:

注意

您可能必須先在 Ubuntu Server 16 系統上安裝 Aptitude。

aptitude search -F '%p %P %s %t %V#' '~U'

在此命令的回應中,所有可升級的套裝將以此格式回報:

name, priority, section, archive, candidate version

如需有關修補程式合規狀態值的詳細資訊,請參閱 了解修補程式合規狀態值