如何選取安全性修補程式 - AWS Systems Manager

如何選取安全性修補程式

Patch Manager (AWS Systems Manager 的一項功能) 的主要重點是在執行個體上安裝與作業系統安全相關的更新。在預設情況下,Patch Manager 不會安裝所有可用的修補程式,而是安裝以安全性為主的部分修補程式。

注意

在 Patch Manager 支援的所有 Linux 為基礎的系統上,您可以選擇為執行個體設定不同的來源儲存庫,通常用於安裝非安全性更新。如需相關資訊,請參閱「如何指定替代修補程式來源儲存庫 (Linux)」。

請從以下標籤選擇,了解 Patch Manager 如何為您的作業系統選擇安全性修補程式。

Amazon Linux and Amazon Linux 2

在 Amazon Linux 和 Amazon Linux 2 上,Systems Manager 修補基準服務會使用執行個體上預先設定的儲存庫 (repos)。執行個體上通常會有兩個預先設定的儲存庫 (repos):

  • 儲存庫 IDamzn-main/latest

    儲存庫名稱amzn-main-Base

  • 儲存庫 IDamzn-updates/latest

    儲存庫名稱amzn-updates-Base

注意

所有更新會從執行個體上設定的遠端儲存庫下載。因此,執行個體必須能夠連接至儲存庫,以便執行修補。

Amazon Linux 與 Amazon Linux 2 執行個體使用 Yum 做為套件管理工具,且 Yum 使用更新通知的概念,以做為名為 updateinfo.xml 的檔案。更新通知僅只是修復特定問題的套件集合。更新通知中的所有套件皆被 Patch Manager 視為是安全的。個別套件不會被指派分類或嚴重性等級。因此,Patch Manager 會指定更新通知的屬性給相關的套件。

注意

如果您在 Create patch baseline (建立修補基準) 頁面選取 Approved patches include non-security updates (已核准修補程式包括非安全性更新) 核取方塊,則在 updateinfo.xml 檔案中未分類的套件 (或包含檔案但未正確格式化分類、嚴重性和日期值的套件) 可包含在預先篩選的修補程式清單中。但是,若要套用修補程式,修補程式仍必須符合使用者指定的修補基準規則。

CentOS

在 CentOS 上,Systems Manager 修補基準服務會使用執行個體上預先設定的儲存庫 (repos)。下列清單提供虛構 CentOS 8.2 Amazon Machine Image (AMI) 的範例:

  • 儲存庫 IDexample-centos-8.2-base

    儲存庫名稱Example CentOS-8.2 - Base

  • 儲存庫 IDexample-centos-8.2-extras

    儲存庫名稱Example CentOS-8.2 - Extras

  • 儲存庫 IDexample-centos-8.2-updates

    儲存庫名稱Example CentOS-8.2 - Updates

  • 儲存庫 IDexample-centos-8.x-examplerepo

    儲存庫名稱Example CentOS-8.x – Example Repo Packages

注意

所有更新會從執行個體上設定的遠端儲存庫下載。因此,執行個體必須能夠連接至儲存庫,以便執行修補。

CentOS 6 和 7 執行個體使用 Yum 做為套件管理工具。CentOS 8 執行個體使用 DNF 做為套件管理工具。這兩個套件管理工具都使用更新通知的概念。更新通知僅只是修復特定問題的套件集合。

不過,CentOS 預設儲存庫並未設定更新通知。這表示 Patch Manager 不會偵測預設 CentOS 儲存庫上的套件。若要啟用 Patch Manager 來處理不包含在更新通知中的套件,您必須在修補基準規則中啟用 EnableNonSecurity 旗標。

注意

支援 CentOS 更新通知。啟動後,可下載含有更新通知的儲存區。

Debian Server

在 Debian Server 上,Systems Manager 修補基準服務會使用執行個體上預先設定的儲存庫 (repos)。這些預先設定的儲存庫可用於提取更新的可用套件升級清單。因此,Systems Manager 執行相當於 sudo apt-get update 命令。

然後套件會從 debian-security codename 儲存庫進行篩選。這表示在 Debian Server 8 上,Patch Manager 僅識別 debian-security jessie 部分的升級。在 Debian Server 9 上,僅識別 debian-security stretch 部分的升級。在 Debian Server 10 上,僅識別 debian-security buster 部分的升級。

注意

僅限於 Debian Server 8 上:由於某些 Debian Server 8.* 執行個體會參考已淘汰的套件庫 (jessie-backports),因此 Patch Manager 會執行額外的步驟以確保修補操作成功。如需更多詳細資訊,請參閱 如何安裝修補程式

Oracle Linux

在 Oracle Linux 上,Systems Manager 修補基準服務會使用執行個體上預先設定的儲存庫 (repos)。執行個體上通常會有三個預先設定的儲存庫。

Oracle Linux 7

  • 儲存庫 IDol7_UEKR5/x86_64

    儲存庫名稱Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

  • 儲存庫 IDol7_latest/x86_64

    儲存庫名稱Oracle Linux 7Server Latest (x86_64)

Oracle Linux 8

  • 儲存庫 IDol8_baseos_latest

    儲存庫名稱Oracle Linux 8 BaseOS Latest (x86_64)

  • 儲存庫 IDol8_appstream

    儲存庫名稱Oracle Linux 8 Application Stream (x86_64)

  • 儲存庫 IDol8_UEKR6

    儲存庫名稱Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

注意

所有更新會從執行個體上設定的遠端儲存庫下載。因此,執行個體必須能夠連接至儲存庫,以便執行修補。

Oracle Linux 執行個體使用 Yum 做為套件管理工具,且 Yum 使用更新通知的概念,以做為名為 updateinfo.xml 的檔案。更新通知僅只是修復特定問題的套件集合。個別套件不會被指派分類或嚴重性等級。出於此原因,Patch Manager 會為相關套件指派更新通知的屬性,並根據修補基準中指定的分類篩選條件安裝套件。

注意

如果您在 Create patch baseline (建立修補基準) 頁面選取 Approved patches include non-security updates (已核准修補程式包括非安全性更新) 核取方塊,則在 updateinfo.xml 檔案中未分類的套件 (或包含檔案但未正確格式化分類、嚴重性和日期值的套件) 可包含在預先篩選的修補程式清單中。但是,若要套用修補程式,修補程式仍必須符合使用者指定的修補基準規則。

RHEL

在 Red Hat Enterprise Linux 上,Systems Manager 修補基準服務會使用執行個體上預先設定的儲存庫 (repos)。執行個體上通常會有三個預先設定的儲存庫。

所有更新會從執行個體上設定的遠端儲存庫下載。因此,執行個體必須能夠連接至儲存庫,以便執行修補。

注意

如果您在 Create patch baseline (建立修補基準) 頁面選取 Approved patches include non-security updates (已核准修補程式包括非安全性更新) 核取方塊,則在 updateinfo.xml 檔案中未分類的套件 (或包含檔案但未正確格式化分類、嚴重性和日期值的套件) 可包含在預先篩選的修補程式清單中。但是,若要套用修補程式,修補程式仍必須符合使用者指定的修補基準規則。

Red Hat Enterprise Linux 7 執行個體使用 Yum 作為套件管理工具。Red Hat Enterprise Linux 8 執行個體使用 DNF 作為套件管理工具。這兩個套件管理工具都使用更新通知的概念做為一個名為 updateinfo.xml 的檔案。更新通知僅只是修復特定問題的套件集合。個別套件不會被指派分類或嚴重性等級。出於此原因,Patch Manager 會為相關套件指派更新通知的屬性,並根據修補基準中指定的分類篩選條件安裝套件。

RHEL 7 和 RHEL 8 之間的儲存庫位置不同:

RHEL 7
注意

下列儲存庫 ID 與 RHUE 2 相關聯。RHUE 3 於 2019 年 12 月推出,並為 Yum 儲存庫 ID 引入了不同的命名方式。根據您建立執行個體的 RHEL-7 AMI,您可能需要更新命令。如需詳細資訊,請參閱 Red Hat 客戶入口網站中的 AWS 中 RHEL 7 的儲存庫 ID 已變更

  • 儲存庫 IDrhui-REGION-client-config-server-7/x86_64

    儲存庫名稱Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • 儲存庫 IDrhui-REGION-rhel-server-releases/7Server/x86_64

    儲存庫名稱Red Hat Enterprise Linux Server 7 (RPMs)

  • 儲存庫 IDrhui-REGION-rhel-server-rh-common/7Server/x86_64

    儲存庫名稱Red Hat Enterprise Linux Server 7 RH Common (RPMs)

RHEL 8
  • 儲存庫 IDrhel-8-appstream-rhui-rpms

    儲存庫名稱Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

  • 儲存庫 IDrhel-8-baseos-rhui-rpms

    儲存庫名稱Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

  • 儲存庫 IDrhui-client-config-server-8

    儲存庫名稱Red Hat Update Infrastructure 3 Client Configuration Server 8

SLES

在 SUSE Linux Enterprise Server (SLES) 執行個體上,ZYPP 程式庫從下列位置取得可用修補程式的集合 (套件的集合):

  • 儲存庫的清單:etc/zypp/repos.d/*

  • 套件資訊:/var/cache/zypp/raw/*

SLES 執行個體使用 Zypper 做為套件管理工具,Zypper 使用修補程式的概念。修補程式只是修復特定問題的套件集合。Patch Manager 處理安全性相關修補程式中參考的所有套件。由於個別套件並未指定分類或嚴重性,因此 Patch Manager 會將修補程式所屬的屬性指派給套件。

Ubuntu Server

在 Ubuntu Server 上,Systems Manager 修補基準服務會使用執行個體上預先設定的儲存庫 (repos)。這些預先設定的儲存庫可用於提取更新的可用套件升級清單。因此,Systems Manager 執行相當於 sudo apt-get update 命令。

然後套件會從 codename-security 儲存庫中進行篩選,其中的代號名稱為發行版本專屬,例如 Ubuntu Server 14 的 trusty。Patch Manager 僅識別屬於這些儲存庫之一部分的升級:

  • Ubuntu Server 14.04 LTS:trusty-security

  • Ubuntu Server 16.04 LTS:xenial-security

  • Ubuntu Server 18.04 LTS:bionic-security

  • Ubuntu Server 20.04 LTS:focal-security

  • Ubuntu Server 20.10 STR:groovy-gorilla

Windows

在 Microsoft Windows 作業系統上,Patch Manager 會擷取 Microsoft 透過更新服務發佈的可用更新清單,並自動對 Windows Server Update Services (WSUS) 可用。

Patch Manager 持續監控每個 AWS 區域 中的新更新。各個區域中可用的更新清單將至少每天重新整理一次。Microsoft 的修補程式資訊經處理後,Patch Manager 會從其修補程式清單中刪除已被更新版本取代的更新。因此,只有最新的更新會顯示出來並提供安裝。例如,如果 KB4012214 取代了 KB3135456,Patch Manager 中只會有 KB4012214 可供更新。

注意

Patch Manager 僅為 Patch Manager 支援的 Windows Server 作業系統版本提供可用的修補程式。例如,Patch Manager 無法用於修補 Windows RT。