关于预定义和自定义补丁基准 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于预定义和自定义补丁基准

Patch Manager,一项功能 Amazon Systems Manager,为支持的每个操作系统提供预定义的补丁基准。Patch Manager您可以按照当前配置的方式使用这些基准(无法自定义它们),也可以创建您自己的自定义补丁基准。自定义补丁基准允许您更好地控制在您的环境下批准或拒绝哪些补丁。此外,预定义基准会为使用这些基准安装的所有补丁分配 Unspecified 合规性级别。对于要分配的合规性值,您可以创建预定义基准的副本,并指定要分配给补丁的合规性值。有关更多信息,请参阅 关于自定义基准使用自定义补丁基准

注意

无论您使用哪种方法或类型的配置进行修补操作,本主题中的信息均适用:

  • Quick Setup 中配置的补丁策略

  • Quick Setup 中配置的主机管理选项

  • 运行补丁 ScanInstall 任务的维护时段

  • 按需 Patch now(立即修补)操作

关于预定义基准

下表介绍了 Patch Manager 提供的预定义补丁基准。

有关 Patch Manager 支持各操作系统的哪些版本的信息,请参阅 Patch Manager先决条件

名称 支持的操作系统 详细信息

AWS-AlmaLinuxDefaultPatchBaseline

AlmaLinux

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还批准分类为“Bugfix”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux 1

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还将自动批准分类为“缺陷修正”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还批准分类为“缺陷修正”的所有补丁。补丁将在发布后 7 天自动批准。¹
AWS-AmazonLinux2022DefaultPatchBaseline Amazon Linux 2022

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。补丁将在发布后七天自动批准。在发布 7 天后还批准分类为“缺陷修正”的所有补丁。

AWS-AmazonLinux2023DefaultPatchBaseline Amazon Linux 2023

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。补丁将在发布后七天自动批准。在发布 7 天后还批准分类为“缺陷修正”的所有补丁。

AWS-CentOSDefaultPatchBaseline CentOS 和 CentOS Stream 在所有更新可用 7 天后批准这些更新(包括非安全性更新)。
AWS-DebianDefaultPatchBaseline Debian Server 立即批准优先级为“Required”、“Important”、“Standard”、“Optional”或“Extra”的与操作系统安全相关的所有补丁。由于存储库中未提供可靠的发布日期,因此批准之前无需等待。
AWS-MacOSDefaultPatchBaseline macOS 批准分类为“Security”的所有操作系统补丁。同时批准具有当前更新的所有软件包。
AWS-OracleLinuxDefaultPatchBaseline Oracle Linux 批准分类为“Security”且严重性等级为“重要”或“中等”的所有操作系统补丁。在发布 7 天后还批准分类为“Bugfix”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹
AWS-DefaultRaspbianPatchBaseline Raspberry Pi OS 立即批准优先级为“Required”、“Important”、“Standard”、“Optional”或“Extra”的与操作系统安全相关的所有补丁。由于存储库中未提供可靠的发布日期,因此批准之前无需等待。

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还批准分类为“Bugfix”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-RockyLinuxDefaultPatchBaseline

Rocky Linux

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还批准分类为“Bugfix”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server (SLES) 批准分类为“Security”且严重性为“严重”或“重要”的所有操作系统补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

立即批准优先级为“Required”、“Important”、“Standard”、“Optional”或“Extra”的与操作系统安全相关的所有补丁。由于存储库中未提供可靠的发布日期,因此批准之前无需等待。

AWS-DefaultPatchBaseline

Windows Server

批准所有归类为 “” 或 “CriticalUpdates” 且MSRC严重性为 SecurityUpdates “严重” 或 “重要” 的Windows Server操作系统补丁。补丁将在发布或更新后 7 天自动批准。²

AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

批准所有归类为 “” 或 “CriticalUpdates” 且MSRC严重性为 SecurityUpdates “严重” 或 “重要” 的Windows Server操作系统补丁。补丁将在发布或更新后 7 天自动批准。²

AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server 对于Windows Server操作系统,批准所有归类为 “” 或 “CriticalUpdatesSecurityUpdates” 且MSRC严重性为 “严重” 或 “重要” 的补丁。对于 Microsoft 发布的应用程序,批准所有补丁。在发布或更新后 7 天自动批准操作系统和应用程序的补丁。²

¹ 对于 Amazon Linux 1 和 Amazon Linux 2,补丁获得自动批准之前的 7 天等待时间是根据中的Updated Dateupdateinfo.xml值而不是值计算的。Release Date有多种因素会影响 Updated Date 值。其他操作系统处理发布和更新日期的方式有所不同。有关帮助您避免自动批准延迟的意外结果的信息,请参阅 如何计算软件包发布日期和更新日期

² 对于 Windows Server,默认基准包括 7 天的自动批准延迟。要在发布后 7 天内安装补丁,您必须创建自定义基准。

关于自定义基准

如果您创建自己的补丁基准,则可使用以下类别选择自动批准哪些补丁。

  • 操作系统:Windows Server、Amazon Linux、Ubuntu Server等。

  • 产品名称(对于操作系统):例如,RHEL 6.5、Amazon Linux 2014.09、Windows Server2012、Windows Server2012 R2 等。

  • 产品名称(Windows Server仅适用于微软发布的应用程序):例如 Word 2016、 BizTalk Server 等。

  • 分类:例如,关键更新、安全更新等。

  • 严重性:例如,关键、重要等

对于您创建的每个批准规则,您可以选择指定自动批准延迟或指定补丁批准截止日期。

注意

由于无法可靠地确定 Ubuntu Server 的更新程序包的发布日期,因此此操作系统不支持自动批准选项。

自动批准延迟是发布或最后更新补丁后到自动批准补丁用于修补前等待的天数。例如,如果您使用 CriticalUpdates 分类创建一条规则并将其自动批准延迟配置为 7 天,则将在 7 月 14 日自动批准 7 月 7 日发布的新关键补丁。

注意

如果 Linux 存储库没有提供软件包的发布日期信息,Systems Manager 会使用软件包的构建时间作为亚马逊 Linux 1、Amazon Linux 2 和 CentOS 的自动批准延迟。RHEL如果系统无法找到软件包的构建时间,Systems Manager 会将自动批准延迟视为零值。

当您指定自动批准截止日期时,Patch Manager 会自动应用在该日期或之前发布或最后更新的所有补丁。例如,如果将 2023 年 7 月 7 日指定为截止日期,系统都不会自动安装于 2023 年 7 月 8 日或之后发布或最后更新的所有补丁。

注意

创建自定义补丁基准时,您可以为此补丁基准批准的补丁指定合规性严重性级别,例如 CriticalHigh。如果任何已批准补丁的补丁状态报告为 Missing,则补丁基准报告的总体合规性严重性级别就是您指定的严重级别。

创建补丁基准时,请牢记以下信息:

  • Patch Manager 为每个受支持的操作系统提供一个预定义的补丁基准。这些预定义的补丁基准将被用作每个操作系统类型的默认补丁基准,除非您创建自己的补丁基准,并将其指定为相应操作系统类型的默认补丁基准。

    注意

    适用于 Windows Server,提供三个预定义的补丁基准。补丁基准 AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS 仅支持 Windows 操作系统本身的操作系统更新。除非您指定了其他补丁基准,AWS-DefaultPatchBaseline 用作 Windows Server 托管式节点的默认补丁基准。这两个补丁基准中的配置设置是相同的。两者中较新的,AWS-WindowsPredefinedPatchBaseline-OS 被创建来区分它和 Windows Server 的第三个预定义补丁基准。补丁基准 AWS-WindowsPredefinedPatchBaseline-OS-Applications,可用于将补丁应用到 Windows Server 操作系统和 Microsoft 发布的受支持的应用程序。

  • 对于本地服务器和虚拟机 (VM),Patch Manager 尝试使用您的自定义默认补丁基准。如果不存在自定义默认补丁基准,系统将使用相应操作系统的预定义补丁基准。

  • 如果某个补丁在相同的补丁基准中同时被列为已批准和已拒绝,则该补丁将被拒绝。

  • 一个托管式节点只能有一个定义的补丁基准。

  • 可以添加到补丁基准的已批准补丁和已拒绝补丁列表中的软件包名称格式取决于您正在修补的操作系统的类型。

    有关已批准的补丁和已拒绝的补丁列表的已接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式

  • 如果您在 Quick Setup 中使用补丁策略配置,则系统会每小时与 Quick Setup 同步一次您对自定义补丁基准所做的更新。

    如果删除了补丁策略中引用的自定义补丁基准,那么补丁策略的 Quick Setup Configuration details(配置详细信息)页面上会显示一个横幅。横幅将通知您,补丁策略引用的补丁基准已不存在,且后续的修补操作将失败。在这种情况下,返回 Quick Setup Configurations(配置)页面,选择 Patch Manager 配置,然后选择 Actions(操作),Edit configuration(编辑配置)。已删除的补丁基准名称将突出显示,您必须为受影响的操作系统选择新的补丁基准。

有关创建补丁基准的信息,请参阅 使用自定义补丁基准教程:修补服务器环境(Amazon CLI)