AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

如何选择安全性补丁

Patch Manager 的主要设计意图在于为实例安装与安全性相关的操作系统更新。默认情况下,Patch Manager 并非安装所有可用的补丁,而只安装一小部分旨在提高安全性的补丁。

注意

在 Patch Manager 支持的所有基于 Linux 的系统上,您可以选择为实例配置的不同源存储库,通常用于安装非安全性更新。有关信息,请参阅 如何指定备用补丁源存储库 (Linux)

请从以下选项卡中进行选择,了解 Patch Manager 如何为操作系统选择安全性补丁。

WindowsAmazon LinuxRHELUbuntuSLESCentOS
Windows

在 Microsoft Windows 操作系统上,Patch Manager 使用 Microsoft 的 cab 文件 wsusscn2.cab 作为可用操作系统安全更新的来源。此文件包含有关 Microsoft 发布的与安全相关的更新的信息。Patch Manager 定期从 Microsoft 下载此文件,并使用它更新 Windows 实例可用的补丁集。此文件仅包含 Microsoft 确定与安全有关的更新。在处理文件中的信息时,Patch Manager 还会删除已被后续更新取代的更新。因此,Patch Manager 只显示最新更新,以供您安装。例如,如果 KB4012214 取代了 KB3135456,则 Patch Manager 只将 KB4012214 显示为更新。

要了解有关 wsusscn2.cab 文件的更多信息,请参阅 Microsoft 文章 Using WUA to Scan for Updates Offline

下载最新版本的 wsusscn2.cab

Amazon Linux

在 Amazon Linux 上,Systems Manager 补丁基准服务使用实例上的预配置存储库。实例上通常有两个预配置存储库 (存储库):

  • 存储库 ID:amzn-main/latest

    存储库名称:amzn-main-Base

  • 存储库 ID:amzn-updates/latest

    存储库名称:amzn-updates-Base

注意

所有更新都是从实例上配置的远程存储库下载的。因此,实例必须能够连接远程存储库,才能执行修补。

Amazon Linux 实例使用 Yum 作为程序包管理器,并且 Yum 使用更新通知的概念。更新通知只是修复特定问题的程序包的集合。Patch Manager 将更新通知中的所有程序包视为安全性程序包。因为没有为单个程序包提供分类或严重性,所以 Patch Manager 为程序包分配它们属于的更新通知的属性。要处理不在更新通知中的程序包,请使用规则中的 EnableNonSecurity 标志。

RHEL

在 Red Hat Enterprise Linux 上,Systems Manager 补丁基准服务使用实例上的预配置存储库 (存储库)。实例上通常有三个预配置存储库:

  • 存储库 ID:rhui-REGION-client-config-server-7/x86_64

    存储库名称:Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • 存储库 ID:rhui-REGION-rhel-server-releases/7Server/x86_64

    存储库名称:Red Hat Enterprise Linux Server 7 (RPMs)

  • 存储库 ID:rhui-REGION-rhel-server-rh-common/7Server/x86_64

    存储库名称:Red Hat Enterprise Linux Server 7 RH Common (RPMs)

注意

所有更新都是从实例上配置的远程存储库下载的。因此,实例必须能够连接远程存储库,才能执行修补。

Red Hat Enterprise Linux 实例使用 Yum 作为程序包管理器,并且 Yum 使用更新通知的概念。更新通知只是修复特定问题的程序包的集合。Patch Manager 将更新通知中的所有程序包视为安全性程序包。因为没有为单个程序包提供分类或严重性,所以 Patch Manager 为程序包分配它们属于的更新通知的属性。要处理不在更新通知中的程序包,请使用规则中的 EnableNonSecurity 标志。

Ubuntu

在 Ubuntu Server 上,Systems Manager 补丁基准服务使用实例上的预配置存储库 (存储库)。这些预配置存储库用于提取可用程序包升级的更新列表。在这一点上,Systems Manager 的作用类似于 sudo apt-get update 命令。

然后,从 codename-security 存储库筛选程序包,其中代号为 trusty/xenial/zesty。例如,在 Ubuntu Server 14 上,Patch Manager 只识别属于 trusty-security 一部分的升级。

SLES

在 SUSE Linux Enterprise Server (SLES) 实例上,ZYPP 库从以下位置获取可用补丁的列表 (程序包的集合):

  • 存储库的列表:etc/zypp/repos.d/*

  • 程序包信息:/var/cache/zypp/raw/*

SLES 实例使用 Zypper 作为程序包管理器,并且 Zypper 使用补丁的概念。补丁只是修复特定问题的程序包的集合。Patch Manager 将补丁中引用的所有程序包都处理为与安全性相关。因为没有为单个程序包提供分类或严重性,所以 Patch Manager 为程序包分配它们属于的补丁的属性。

CentOS

在 CentOS 上,Systems Manager 补丁基准服务使用实例上的预配置存储库 (存储库)。下面是 CentOS 6.9 Amazon Machine Image (AMI) 中的一些示例:

  • 存储库 ID:ultra-centos-6.9-base

    存储库名称:UltraServe CentOS-6.9 - Base

  • 存储库 ID:ultra-centos-6.9-extras

    存储库名称:UltraServe CentOS-6.9 - Extras

  • 存储库 ID:ultra-centos-6.9-updates

    存储库名称:UltraServe CentOS-6.9 - Updates

  • 存储库 ID:ultra-centos-6.x-glusterfs

    存储库名称:UltraServe CentOS-6.x - GlusterFS

  • 存储库 ID:ultra-centos-6.x-ultrarepo

    存储库名称:UltraServe CentOS-6.x – UltraServe Repo Packages

注意

所有更新都是从实例上配置的远程存储库下载的。因此,实例必须能够连接远程存储库,才能执行修补。

CentOS 实例使用 Yum 作为程序包管理器,并且 Yum 使用更新通知的概念。更新通知只是修复特定问题的程序包的集合。Patch Manager 将更新通知中的所有程序包视为安全性程序包。

但是,CentOS 默认存储库不配置更新通知。这意味着,Patch Manager 不检测默认 CentOS 存储库上的程序包。要允许 Patch Manager 处理更新通知中未包含的程序包,您必须启用补丁基准规则中的 EnableNonSecurity 标志。

注意

支持 CentOS 更新通知。带有更新通知的存储库发布后即可供下载。