创建自定义补丁基准 (Linux)
在 Patch Manager(Amazon Systems Manager 的一项功能)中,使用以下过程为 Linux 托管式节点创建自定义补丁基准。
有关为 macOS 托管式节点创建补丁基准的信息,请参阅 创建自定义补丁基准(macOS)。有关为 Windows 托管式节点创建补丁基准的信息,请参阅 创建自定义补丁基准 (Windows)。
为 Linux 托管式节点创建自定义补丁基准
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 在导航窗格中,选择 Patch Manager。
-或者-
如果首先打开 Amazon Systems Manager 主页,选择菜单图标 (
) 打开导航窗格,然后选择 Patch Manager。-
选择补丁基准选项卡。
-
请选择创建补丁基准。
-
在 Name (名称) 中,输入新补丁基准的名称,例如,
MyRHELPatchBaseline。 -
(可选)对于 Description (描述),输入此补丁基准的描述。
-
对于 Operating system (操作系统),请选择操作系统,例如
Red Hat Enterprise Linux。 -
如果要在创建后即开始将此补丁基准用作所选操作系统的默认项,请选中 Set this patch baseline as the default patch baseline for
operating system nameinstances (将此补丁基准设置为 <操作系统名称> 实例的默认补丁基准) 旁边的框。有关将现有补丁基准设置为默认项的信息,请参阅 将现有补丁基准设置为默认项 (控制台)。
-
在 Approval rules for operating-systems (操作系统的批准规则) 部分,使用字段创建一个或多个自动批准规则。
-
Product (产品):批准规则适用于的操作系统的版本,例如
RedhatEnterpriseLinux7.4。默认选择为All。 -
Classification (分类):批准规则适用于的补丁的类型,例如
Security或Enhancement。默认选择为All。提示 您可以配置补丁基准来控制是否安装 Linux 的次要版本升级,如 RHEL 7.8。次要版本升级可由 Patch Manager 自动安装,前提是此更新在适当的存储库中可用。
对于 Linux 操作系统,次要版本升级的分类方式不一致。它们可以分类为错误修复或安全更新,或者不分类,即使在同一内核版本中也是如此。以下是控制补丁基准是否安装这些补丁的几个选项。
-
选项 1:确保在可用时安装次要版本升级的最广泛的批准规则是将 Classification(分类)指定为
All(*),然后选择 Include nonsecurity updates(包括非安全更新)选项。 -
选项 2:为确保安装操作系统版本的补丁,您可以使用通配符 (*) 在基准的 Patch exceptions (补丁例外) 部分指定其内核格式。例如,RHEL 7.* 的内核格式为
kernel-3.10.0-*.el7.x86_64。在补丁基准中的 Approved patches(已批准补丁)列表中输入
kernel-3.10.0-*.el7.x86_64,以确保所有补丁(包括次要版本升级)都应用到 RHEL 7.* 托管式节点。(如果您知道次要版本补丁的确切程序包名称,则可以输入此名称。) -
Option 3(选项 3):通过使用
AWS-RunPatchBaseline文档中的 InstallOverrideList 参数,您可以最大程度地控制应用于托管式节点的补丁(包括次要版本升级)。有关更多信息,请参阅关于 AWS-RunPatchBaseline SSM 文档。
-
-
Severity (严重性):规则适用于的补丁的严重性值,例如
Critical。默认选择为All。 -
Auto-approval(自动批准):选择要自动批准的补丁的方法。
注意 由于无法可靠地确定 Ubuntu Server 的更新程序包的发布日期,因此此操作系统不支持自动批准选项。
-
在指定的天数后批准补丁:Patch Manager 在发布补丁之后等待的天数,然后自动批准补丁。可以输入零 (0) 到 360 的任何整数。对于大多数情况,我们建议等待期不超过 100 天。
-
批准在特定日期之前发布的补丁:补丁发布日期,Patch Manager 自动应用在该日期或之前发布的所有补丁。例如,如果指定 2020 年 7 月 7 日,则不会自动安装在 2020 年 7 月 8 日或之后发布的任何补丁。
-
-
(可选)Compliance reporting (合规性报告):要分配给基准批准的补丁的严重性级别,例如
High。注意 如果有已批准的补丁报告为缺失,则在 Compliance reporting(合规性报告)中选择的选项(如
Critical或Medium)将确定违反合规性的严重性。 -
Include non-security updates (包括非安全性更新):选中此复选框,除了可以安装与安全性相关的补丁外,还可以安装源存储库中提供的非安全性 Linux 操作系统补丁。
注意 对于 SUSE Linux Enterprise Server (SLES),无需选中此复选框,因为 SLES 托管式节点上默认安装针对安全性和非安全性问题的补丁。有关更多信息,请参阅如何选择安全性补丁中的 SLES 内容。
有关在自定义补丁基准中使用批准规则的更多信息,请参阅 关于自定义基准。
-
-
如果要明确批准除满足批准规则的补丁外的任何补丁,请在 Patch exceptions (补丁例外) 部分执行以下操作:
-
对于 Approved patches (已批准的补丁),输入要批准的补丁的逗号分隔列表。
注意 有关已批准的补丁和已拒绝的补丁列表的已接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式。
-
(可选)对于 Approved patches compliance level (已批准补丁合规性级别),为列表中的补丁分配合规性级别。
-
如果您指定的任何已批准的补丁与安全性无关,请选中 Approved patches include non-security updates (已批准的补丁包括非安全性更新) 复选框,以便也在 Linux 操作系统上安装这些补丁。
-
-
如果要明确拒绝除满足批准规则的补丁外的任何补丁,请在 Patch exceptions (补丁例外) 部分执行以下操作:
-
对于 Rejected patches (已拒绝的补丁),输入要拒绝的补丁的逗号分隔列表。
注意 有关已批准的补丁和已拒绝的补丁列表的已接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式。
-
对于已拒绝的补丁操作,请选择 Patch Manager 要对已拒绝的补丁列表中包含的补丁采取的操作。
-
允许作为依赖项:仅当已拒绝的补丁列表中的软件包是另一个软件包的依赖项时,才安装它。它被视为符合补丁基准,并且它的状态报告为 InstalledOther。这是未指定选项时的默认操作。
-
阻止:在任何情况下都不安装 已拒绝的补丁列表中的软件包以及包含它们作为依赖项的软件包。如果在将软件包添加到 RejectedPatches 列表之前已安装该软件包,则将其视为不符合补丁基准并将状态报告为 InstalledRejected。
-
-
-
(可选)如果您要为不同版本的操作系统 (如 AmazonLinux2016.03 和 AmazonLinux2017.09) 指定备用补丁存储库,请为 Patch sources (补丁来源) 部分中的每个产品执行以下操作:
-
在 Name (名称) 中,输入名称以帮助您标识源配置。
-
在 Product(产品)中,请选择补丁源存储库适用于的操作系统的版本,例如
RedhatEnterpriseLinux7.4。 -
在配置中,输入要以下列格式使用的 yum 存储库配置的值:
[main] name=MyCustomRepositorybaseurl=https://my-custom-repositoryenabled=1提示 有关 yum 存储库配置可用的其他选项的信息,请参阅 dnf.conf(5)
。 选择添加其他来源来为每个其他操作系统版本指定源存储库,最多 20 个。
有关备用源补丁存储库的更多信息,请参阅 如何指定备用补丁源存储库 (Linux)。
-
-
(可选)对于管理标签,将一个或多个标签键名称/值对应用到补丁基准。
标签是您分配给资源的可选元数据。标签允许您按各种标准(如用途、所有者或环境)对资源进行分类。例如,您可能想要标记补丁基准来确定其指定的补丁的严重性级别、它适用的操作系统系列以及环境类型。在这种情况下,您可以指定类似于以下键名称/值对的标签:
-
Key=PatchSeverity,Value=Critical -
Key=OS,Value=RHEL -
Key=Environment,Value=Production
-
-
请选择创建补丁基准。