如何選取安全性修補程式 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

如何選取安全性修補程式

Patch Manager ( AWS Systems Manager 的功能) 的主要重點是在受管節點上安裝與作業系統安全相關的更新。在預設情況下,Patch Manager 不會安裝所有可用的修補程式,而是安裝以安全性為主的部分修補程式。

對於報告修補程式嚴重性級別的 Linux 作業系統類型,Patch Manager 使用軟體發佈者為更新通知或個別修補程式報告的嚴重性級別。Patch Manager 不會從第三方來源推導出嚴重性級別,例如通用漏洞評分系統 (CVSS),或者美國國家漏洞資料庫 (NVD) 發佈的指標。

注意

在 Patch Manager 支援的所有 Linux 為基礎的系統上,您可以選擇為受管節點設定不同的來源儲存庫,通常用於安裝非安全性更新。如需相關資訊,請參閱 如何指定替代修補程式來源儲存庫 (Linux)

請從以下標籤選擇,了解 Patch Manager 如何為您的作業系統選擇安全性修補程式。

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

預先設定的儲存庫在 Amazon Linux 1 和 Amazon Linux 2 上的處理方式與 Amazon 2022 和 Amazon Linux 2023 上的處理方式不同。

在 Amazon Linux 1 和 Amazon Linux 2 上,Systems Manager 修補程式基準服務會在受管節點上使用預先設定的儲存庫。節點上通常會有兩個預先設定的儲存庫 (repos):

  • 儲存庫 IDamzn-main/latest

    儲存庫名稱amzn-main-Base

  • 儲存庫 IDamzn-updates/latest

    儲存庫名稱amzn-updates-Base

Amazon Linux 2023 (AL2023) 執行個體初始包含在 AL2023 和所選 AMI 版本中可用的更新。根據預設,AL2023 執行個體不會在啟動時自動接收其他關鍵和重要的安全性更新。而是透過 AL2023 中的版本化儲存庫功能進行確定性升級 (預設為開啟)。您可以根據所需排程套用更新。如需詳細資訊,請參閱《Amazon Linux 2023 使用者指南》中的透過版本化儲存庫使用決定性升級一節。

在 Amazon Linux 2022 上,預先設定的儲存庫會繫結至套件更新的鎖定版本。當新的 Amazon Machine Images (AMIs) for Amazon Linux 2022 發布時,會鎖定至特定版本。針對修補程式更新,Patch Manager 會擷取修補程式更新儲存庫的最新鎖定版本,然後根據該鎖定版本的內容,更新受管節點上的套件。

在 AL2023 上,預先設定的儲存庫如下:

  • 儲存庫 IDamazonlinux

    儲存庫名稱:Amazon Linux 2023 儲存庫

在 Amazon Linux 2022 (預覽版本) 上,預先設定的儲存庫會繫結至套件更新的鎖定版本。當新的 Amazon Machine Images (AMIs) for Amazon Linux 2022 發布時,會鎖定至特定版本。針對修補程式更新,Patch Manager 會擷取修補程式更新儲存庫的最新鎖定版本,然後根據該鎖定版本的內容,更新受管節點上的套件。

在 Amazon Linux 2022 上,預先設定的存儲庫如下:

  • 儲存庫 IDamazonlinux

    儲存庫名稱:Amazon Linux 2022 儲存庫

注意

所有更新會從受管節點上設定的遠端儲存庫下載。因此,此節點必須具有傳出至網際網路的存取權,以便連線至儲存庫以執行修補。

Amazon Linux 1 和 Amazon Linux 2 受管節點使用 Yum 作為軟件包管理器。Amazon Linux 2022 和 Amazon Linux 2023 使用 Yum 做為套件管理器。

這兩個套件管理工具都使用更新通知的概念做為一個名為 updateinfo.xml 的檔案。更新通知僅只是修復特定問題的套件集合。更新通知中的所有套件皆被 Patch Manager 視為是安全的。個別套件不會被指派分類或嚴重性等級。因此,Patch Manager 會指派更新通知的屬性給相關的套件。

注意

如果您在建立修補基準頁面中選取包含非安全性更新核取方塊,則在 updateinfo.xml 檔案中未分類的套件 (或包含檔案但未正確格式化分類、嚴重性和日期值的套件) 可包含在預先篩選的修補程式清單中。但是,若要套用修補程式,修補程式仍必須符合使用者指定的修補基準規則。

CentOS and CentOS Stream

在 CentOS 和 CentOS Stream 上,Systems Manager 修補基準服務會使用受管節點上預先設定的儲存庫 (repos)。下列清單提供虛構 CentOS 8.2 Amazon Machine Image (AMI) 的範例:

  • 儲存庫 IDexample-centos-8.2-base

    儲存庫名稱Example CentOS-8.2 - Base

  • 儲存庫 IDexample-centos-8.2-extras

    儲存庫名稱Example CentOS-8.2 - Extras

  • 儲存庫 IDexample-centos-8.2-updates

    儲存庫名稱Example CentOS-8.2 - Updates

  • 儲存庫 IDexample-centos-8.x-examplerepo

    儲存庫名稱Example CentOS-8.x – Example Repo Packages

注意

所有更新會從受管節點上設定的遠端儲存庫下載。因此,此節點必須具有傳出至網際網路的存取權,以便連線至儲存庫以執行修補。

CentOS 6 和 7 受管節點使用 Yum 作為套件管理工具。CentOS 8 和 CentOS Stream 節點使用 DNF 作為套件管理工具。這兩個套件管理工具都使用更新通知的概念。更新通知僅只是修復特定問題的套件集合。

不過,CentOS 和 CentOS Stream 預設儲存庫並未設定更新通知。這表示 Patch Manager 不會偵測預設 CentOS 和 CentOS Stream 儲存庫上的套件。若要啟用 Patch Manager 來處理不包含在更新通知中的套件,您必須在修補基準規則中啟用 EnableNonSecurity 旗標。

注意

支援 CentOS 和 CentOS Stream 更新通知。啟動後,可下載含有更新通知的儲存區。

Debian Server and Raspberry Pi OS

在 Debian Server 和 Raspberry Pi OS (先前為 Raspbian) 上,Systems Manager 修補基準服務會使用執行個體上預先設定的儲存庫 (repos)。這些預先設定的儲存庫可用於提取更新的可用套件升級清單。因此,Systems Manager 執行相當於 sudo apt-get update 命令。

然後套件會從 debian-security codename 儲存庫進行篩選。這表示在每個版本上Debian Server,Patch Manager只會識別屬於該版本相關存放庫一部分的升級,如下所示:

  • Debian Server 8︰debian-security jessie

  • Debian Server9: debian-security stretch

  • Debian Server十:debian-security buster

  • Debian Server11: debian-security bullseye

  • Debian Server十二:debian-security bookworm

注意

僅限於 Debian Server 8 上:由於某些 Debian Server 8.* 受管節點會參考已淘汰的套件庫 (jessie-backports),因此 Patch Manager 會執行額外的步驟以確保修補操作成功。如需詳細資訊,請參閱 如何安裝修補程式

Oracle Linux

在 Oracle Linux 上,Systems Manager 修補基準服務會使用受管節點上預先設定的儲存庫 (repos)。節點上通常會有兩個預先設定的儲存庫。

Oracle Linux 7

  • 儲存庫 IDol7_UEKR5/x86_64

    儲存庫名稱Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

  • 儲存庫 IDol7_latest/x86_64

    儲存庫名稱Oracle Linux 7Server Latest (x86_64)

Oracle Linux 8

  • 儲存庫 IDol8_baseos_latest

    儲存庫名稱Oracle Linux 8 BaseOS Latest (x86_64)

  • 儲存庫 IDol8_appstream

    儲存庫名稱Oracle Linux 8 Application Stream (x86_64)

  • 儲存庫 IDol8_UEKR6

    儲存庫名稱Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

Oracle Linux 9

  • 儲存庫 IDol9_baseos_latest

    儲存庫名稱Oracle Linux 9 BaseOS Latest (x86_64)

  • 儲存庫 IDol9_appstream

    儲存庫名稱Oracle Linux 9 Application Stream Packages(x86_64)

  • 儲存庫 IDol9_UEKR7

    儲存庫名稱Oracle Linux UEK Release 7 (x86_64)

注意

所有更新會從受管節點上設定的遠端儲存庫下載。因此,此節點必須具有傳出至網際網路的存取權,以便連線至儲存庫以執行修補。

Oracle Linux 受管節點使用 Yum 做為套件管理工具,且 Yum 使用更新通知的概念,以做為名為 updateinfo.xml 的檔案。更新通知僅只是修復特定問題的套件集合。個別套件不會被指派分類或嚴重性等級。出於此原因,Patch Manager 會為相關套件指派更新通知的屬性,並根據修補基準中指定的分類篩選條件安裝套件。

注意

如果您在建立修補基準頁面中選取包含非安全性更新核取方塊,則在 updateinfo.xml 檔案中未分類的套件 (或包含檔案但未正確格式化分類、嚴重性和日期值的套件) 可包含在預先篩選的修補程式清單中。但是,若要套用修補程式,修補程式仍必須符合使用者指定的修補基準規則。

AlmaLinux, RHEL, and Rocky Linux

開啟 AlmaLinuxRed Hat Enterprise Linux、和 Rocky Linux Systems Manager 修補程式基準服務會在受管理的節點上使用預先設定的儲存庫 (存放庫)。節點上通常會有三個預先設定的儲存庫。

所有更新會從受管節點上設定的遠端儲存庫下載。因此,此節點必須具有傳出至網際網路的存取權,以便連線至儲存庫以執行修補。

注意

如果您在建立修補基準頁面中選取包含非安全性更新核取方塊,則在 updateinfo.xml 檔案中未分類的套件 (或包含檔案但未正確格式化分類、嚴重性和日期值的套件) 可包含在預先篩選的修補程式清單中。但是,若要套用修補程式,修補程式仍必須符合使用者指定的修補基準規則。

Red Hat Enterprise Linux7 個受管理節點使用 Yum 做為套件管理員。 AlmaLinux、Red Hat Enterprise Linux 8 和Rocky Linux受管節點使用 DNF 做為套件管理員。這兩個套件管理工具都使用更新通知的概念做為一個名為 updateinfo.xml 的檔案。更新通知僅只是修復特定問題的套件集合。個別套件不會被指派分類或嚴重性等級。出於此原因,Patch Manager 會為相關套件指派更新通知的屬性,並根據修補基準中指定的分類篩選條件安裝套件。

RHEL 7
注意

下列儲存庫 ID 與 RHUI 2 相關聯。RHUI 3 於 2019 年 12 月推出,並為 Yum 儲存庫 ID 引入了不同的命名方式。根據您建立受管節點的 RHEL-7 AMI,您可能需要更新命令。如需詳細資訊,請參閱 Red Hat 客戶入口網站上的AWS 已變更中的 RHEL 7 個儲存庫 ID

  • 儲存庫 IDrhui-REGION-client-config-server-7/x86_64

    儲存庫名稱Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • 儲存庫 IDrhui-REGION-rhel-server-releases/7Server/x86_64

    儲存庫名稱Red Hat Enterprise Linux Server 7 (RPMs)

  • 儲存庫 IDrhui-REGION-rhel-server-rh-common/7Server/x86_64

    儲存庫名稱Red Hat Enterprise Linux Server 7 RH Common (RPMs)

AlmaLinux、RHEL八和Rocky Linux八

  • 儲存庫 IDrhel-8-appstream-rhui-rpms

    儲存庫名稱Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

  • 儲存庫 IDrhel-8-baseos-rhui-rpms

    儲存庫名稱Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

  • 儲存庫 IDrhui-client-config-server-8

    儲存庫名稱Red Hat Update Infrastructure 3 Client Configuration Server 8

AlmaLinux 九、RHEL九和Rocky Linux九

  • 儲存庫 IDrhel-9-appstream-rhui-rpms

    儲存庫名稱Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)

  • 儲存庫 IDrhel-9-baseos-rhui-rpms

    儲存庫名稱Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)

  • 儲存庫 IDrhui-client-config-server-9

    儲存庫名稱Red Hat Enterprise Linux 9 Client Configuration

SLES

在 SUSE Linux Enterprise Server (SLES) 受管節點上,ZYPP 程式庫從下列位置取得可用修補程式的集合 (套件的集合):

  • 儲存庫的清單:etc/zypp/repos.d/*

  • 套件資訊:/var/cache/zypp/raw/*

SLES 受管節點使用 Zypper 作為套件管理工具,Zypper 使用修補程式的概念。修補程式只是修復特定問題的套件集合。Patch Manager 處理安全性相關修補程式中參考的所有套件。由於個別套件並未指定分類或嚴重性,因此 Patch Manager 會將修補程式所屬的屬性指派給套件。

Ubuntu Server

在 Ubuntu Server 上,Systems Manager 修補基準服務會使用受管節點上預先設定的儲存庫 (repos)。這些預先設定的儲存庫可用於提取更新的可用套件升級清單。因此,Systems Manager 執行相當於 sudo apt-get update 命令。

然後套件會從 codename-security 儲存庫中進行篩選,其中的代號名稱為發行版本專屬,例如 Ubuntu Server 14 的 trusty。Patch Manager 僅識別屬於這些儲存庫之一部分的升級:

  • Ubuntu Server 14.04 LTS︰trusty-security

  • Ubuntu Server 16.04 LTS︰xenial-security

  • Ubuntu Server 18.04 LTS︰bionic-security

  • Ubuntu Server 20.04 LTS︰focal-security

  • Ubuntu Server 20.10 STR︰groovy-security

  • Ubuntu Server 22.04 LTS (jammy-security)

  • Ubuntu Server二零四()lunar-security

Windows Server

在 Microsoft Windows 作業系統上,Patch Manager 會擷取 Microsoft 透過更新服務發佈的可用更新清單,並自動對 Windows Server Update Services (WSUS) 可用。

Patch Manager 持續監控每個 AWS 區域 中的新更新。各個區域中可用的更新清單將至少每天重新整理一次。Microsoft 的修補程式資訊經處理後,Patch Manager 會從其修補程式清單中刪除已被更新版本取代的更新。因此,只有最新的更新會顯示出來並提供安裝。例如,如果 KB4012214 取代了 KB3135456,Patch Manager 中只會有 KB4012214 可供更新。

Patch Manager 僅為 Patch Manager 支援的 Windows Server 作業系統版本提供可用的修補程式。例如,Patch Manager 無法用於修補 Windows RT。

注意

在某些情況下,Microsoft 會針對未指定更新日期和時間的應用程式發佈修補程式。在這些情況下,預設會提供 01/01/1970 的更新日期和時間。