AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

补丁基准规则在基于 Linux 的系统上的工作原理

对于 Linux 发行版,补丁基准中规则的工作方式因发行版类型的不同而有所差异。与 Windows 实例上的补丁更新不同,规则将在每个实例上进行评估,以考虑此实例上配置的存储库。Patch Manager 使用本机程序包管理器驱动补丁基准批准的补丁的安装。

补丁基准规则在 Amazon Linux 上的工作原理

在 Amazon Linux 上,补丁选择过程如下:

  1. 在实例上,YUM 库访问每个配置的存储库的 updateinfo.xml 文件。

    注意

    如果存储库不是由 Amazon 管理的,可能不存在 updateinfo.xml 文件。如果找不到 updateinfo.xml,则不会应用任何补丁。

  2. updateinfo.xml 中的每个更新通知都包含几个属性,它们表示通知中的程序包的属性,如下表所述。

    更新通知属性

    属性 说明
    type

    对应于补丁基准的 PatchFilter 数据类型中 Classification 键属性的值。表示更新通知中包含的程序包的类型。

    可能的值:

    • 安全性

    • Bugfix

    • Enhancement

    • 推荐使用

    • Newpackage

    severity

    对应于补丁基准的 PatchFilter 数据类型中 Severity 键属性的值。表示更新通知中包含的程序包的严重性。通常只适用于安全性 更新通知。

    可能的值:

    • 重大

    • 重要提示

    • 中等

    • Low

    update_id

    表示建议 ID,例如 ALAS-2017-867。补丁基准中的 ApprovedPatchesRejectedPatches 属性可能会使用建议 ID。

    重点

    包含有关更新通知的其他信息,例如 CVE ID (格式:CVE-2017-1234567)。补丁基准中的 ApprovedPatchesRejectedPatches 属性可以使用 CVE ID。

    updated

    对应于补丁基准中的 ApproveAfterDays。表示更新通知中包含的程序包的发布日期 (更新的日期)。将当前时间戳与此属性的值比较并配合 ApproveAfterDays 可用来确定补丁是否已获得部署批准。

    注意

    有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 已批准补丁和已拒绝补丁列表的程序包名称格式

  3. 实例的产品由 SSM 代理确定。此属性对应于补丁基准的 PatchFilter 数据类型中 Product 键属性的值。

  4. 对于 updateinfo.xml 中的每个更新通知,补丁基准用作筛选器,只允许更新包含符合条件的程序包。如果应用补丁基准定义后有多个程序包适用,则使用最新版本。

补丁基准规则在 RHEL 上的工作原理

在 Red Hat Enterprise Linux 上,补丁选择过程如下:

  1. 在实例上,YUM 库访问每个配置的存储库的 updateinfo.xml 文件。

    注意

    如果存储库不是由 Red Hat 管理的,可能不存在 updateinfo.xml 文件。如果找不到 updateinfo.xml,则不会应用任何补丁。

  2. updateinfo.xml 中的每个更新通知都包含几个属性,它们表示通知中的程序包的属性,如下表所述。

    更新通知属性

    属性 说明
    type

    对应于补丁基准的 PatchFilter 数据类型中 Classification 键属性的值。表示更新通知中包含的程序包的类型。

    可能的值:

    • 安全性

    • Bugfix

    • Enhancement

    • 推荐使用

    • Newpackage

    severity

    对应于补丁基准的 PatchFilter 数据类型中 Severity 键属性的值。表示更新通知中包含的程序包的严重性。通常只适用于安全性 更新通知。

    可能的值:

    • 重大

    • 重要提示

    • 适中

    • Low

    • None (如果更新通知中未指定严重性,或者为空字符串。)

    update_id

    表示建议 ID,例如 RHSA-2017:0864。补丁基准中的 ApprovedPatchesRejectedPatches 属性可能会使用建议 ID。

    重点

    包含有关更新通知的其他信息,例如 CVE ID (格式:CVE-2017-1000371) 或 Bugzilla ID (格式:1463241)。补丁基准中的 ApprovedPatchesRejectedPatches 属性可以使用 CVE ID 和 Bugzilla ID。

    updated

    对应于补丁基准中的 ApproveAfterDays。表示更新通知中包含的程序包的发布日期 (更新的日期)。将当前时间戳与此属性的值比较并配合 ApproveAfterDays 可用来确定补丁是否已获得部署批准。

    注意

    有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 已批准补丁和已拒绝补丁列表的程序包名称格式

  3. 实例的产品由 SSM 代理确定。此属性对应于补丁基准的 PatchFilter 数据类型中 Product 键属性的值。

  4. 对于 updateinfo.xml 中的每个更新通知,补丁基准用作筛选器,只允许更新包含符合条件的程序包。如果应用补丁基准定义后有多个程序包适用,则使用最新版本。

补丁基准规则在 Ubuntu Server 上的工作原理

在 Ubuntu Server 上,补丁基准服务提供对 PrioritySection 字段的筛选。这些字段通常存在于所有 Ubuntu Server 程序包中。为确定补丁基准是否选择了某个补丁,Patch Manager 执行以下操作:

  1. 在 Ubuntu 系统上,运行等效于 sudo apt-get update 的程序刷新可用程序包列表。不配置存储库,从 sources 列表中配置的存储库提取数据。

  2. 接下来,应用 GlobalFiltersApprovalRulesApprovedPatchesRejectedPatches 列表。只选择发行版安全存储库 (存档) 中存在候选版本的程序包。对于 Ubuntu Server 14,此存储库为 trusty-security

    注意

    有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 已批准补丁和已拒绝补丁列表的程序包名称格式

要查看 PrioritySection 字段的内容,运行以下 aptitude 命令:

注意

您需要先在 Ubuntu Server 16 系统上安装 Aptitude。

aptitude search -F '%p %P %s %t %V#' '~U'

在对此命令的响应中,按以下格式报告所有可升级程序包:

name, priority, section, archive, candidate version

对于 Ubuntu Server 14,将程序包分类到不同合规性状态的规则如下:

  • Installed:通过了补丁基准筛选、trusty-security 中存在候选版本并且不可升级的程序包。

  • Missing:通过了补丁基准筛选、trusty-security 中存在候选版本并且可升级的程序包。

  • Installed Other:未通过补丁基准筛选、trusty-security 中存在候选版本并且不可升级的程序包。此类程序包的合规性级别设置为 UNSPECIFIED

  • NotApplicableApprovedPatches 中包含但系统上未安装的程序包。

  • Failed:修补操作期间安装失败的程序包。

补丁基准规则在 SUSE Linux Enterprise Server 上的工作原理

在 SLES 上,每个补丁包括以下表示补丁中的程序包的属性的属性:

  • 类别:对应于补丁基准的 PatchFilter 数据类型中的分类键属性的值。表示更新通知中包含的补丁的类型。可用选项包括:

    • 安全性

    • 推荐使用

    • 可选

    • 功能

    • 文档

    • Yast

  • 严重性:对应于补丁基准的 PatchFilter 数据类型中严重性键属性的值。表示补丁的严重性。可用选项包括:

    • 适中

    • 重要提示

    • 重大

实例的产品由 SSM 代理确定。此属性对应于补丁基准的 PatchFilter 数据类型中 Product 键属性的值。

对于每个补丁,补丁基准用作筛选器,只允许更新包含符合条件的程序包。如果应用补丁基准定义后有多个程序包适用,则使用最新版本。

注意

有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 已批准补丁和已拒绝补丁列表的程序包名称格式