AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如何指定备用补丁源存储库 (Linux)

当您使用实例上配置的默认存储库执行修补操作时,Patch Manager 会扫描或安装与安全性相关的补丁。这是 Patch Manager 的默认行为。有关 Patch Manager 如何选择和安装安全性补丁的完整信息,请参阅如何选择安全性补丁

不过,在 Linux 系统上,您还可以使用 Patch Manager 来安装与安全性无关的补丁,或与实例上配置的默认源存储库不同的源存储库中的补丁。您可以在创建自定义补丁基准时指定备用补丁源存储库。在每个自定义补丁基准中,您可以为多达 20 个版本的受支持的 Linux 操作系统指定补丁源配置。

例如,假设您的 Ubuntu Server 队列同时包括 Ubuntu Server 14.04 和 Ubuntu Server 16.04 实例。在这种情况下,您可以在相同的自定义补丁基准中为每个版本指定备用存储库。对于每个版本,您提供名称,指定操作系统版本类型 (产品),并提供存储库配置。您也可以指定适用于所有版本的受支持的操作系统的单个备用源存储库。

有关使用此选项的示例场景的列表,请参阅本主题后面的备用补丁源存储库的示例用法

有关默认和自定义补丁基准的信息,请参阅关于预定义和自定义补丁基准

注意

运行指定实例上的备用补丁存储库的自定义补丁基准不会更改为实例配置的默认存储库。

使用控制台

要在 AWS Systems Manager 控制台中指定备用补丁源存储库,请使用 Create patch baseline (创建补丁基准) 页面上的 Patch sources (补丁源) 部分。有关使用 Patch sources (补丁源) 选项的信息,请参阅创建自定义补丁基准

使用其他工具创建补丁基准

在创建补丁基准时,将 sources 选项与其他工具结合使用。

有关将 --sources 选项与 CLI 结合使用的示例,请参阅创建对不同操作系统版本使用自定义存储库的补丁基准

备用存储库的重要注意事项

使用备用补丁存储库计划修补策略时,请注意以下几点:

只指定用于修补的存储库

指定备用存储库并不意味着指定额外 存储库。您可以选择指定配置为实例默认存储库以外的存储库。但是,如果需要应用默认存储库更新,还必须在备用补丁源配置中指定默认存储库。

例如,在 Amazon Linux 2 实例上,默认存储库为 amzn-mainamzn-update。如果需要在修补操作中包括 Extra Packages for Enterprise Linux (EPEL) 存储库,您必须将所有三个存储库都指定为备用存储库。

注意

运行指定实例上的备用补丁存储库的自定义补丁基准不会更改为实例配置的默认存储库。

基于 YUM 的分发版本的修补行为取决于 updateinfo.xml 清单

为基于 YUM 的分发版本(如 Amazon Linux 或 Amazon Linux 2、Red Hat Enterprise Linux 或 CentOS)指定备用补丁存储库时,修补行为取决于存储库是否包含一个采用正确格式的完整 updateinfo.xml 文件形式的更新清单。此文件指定各软件包的发布日期、分类和严重性。以下任一项都会影响修补行为:

  • 如果按 Classification (分类)Severity (严重性) 筛选,但在 updateinfo.xml 中并未指定它们,筛选器将不会包含此软件包。这也意味着没有 updateinfo.xml 文件的软件包不会包含在修补中。

  • 如果按 ApprovalAfterDays 筛选,但软件包的发布日期不是 Unix Epoch 格式(或未指定发布日期),筛选器将不会包含此软件包。

  • 如果在 Create patch baseline (创建补丁基准) 页面选中了 Approved patches include non-security updates (已批准的补丁包括除安全性之外的更新) 复选框,则情况例外。在这种情况下,没有 updateinfo.xml 文件(或包含此文件但 Classification (分类)Severity (严重性)Date (日期) 值格式不正确)的软件包包含在补丁的预筛选列表中。(它们仍必须满足其他补丁基准规则要求才能安装。)

备用补丁源存储库的示例用法

示例 1 – Ubuntu Server 的非安全性更新

您已使用 Patch Manager 来通过 AWS 提供的预定义补丁基准 AWS-UbuntuDefaultPatchBaseline 在 Ubuntu Server 实例队列上安装安全性补丁。您可以创建基于此默认补丁基准的新补丁基准,但在批准规则中指定您也希望安装属于默认分配的一部分的与安全性无关的更新。当对您的实例运行此补丁基准时,将应用针对安全性和非安全性问题的补丁。您还可以选择在为基准指定的补丁异常中批准非安全性补丁。

示例 2 – Ubuntu Server 的个人程序包存档 (PPA)

您的 Ubuntu Server 实例运行通过 Ubuntu 的个人程序包存档 (PPA) 分配的软件。在这种情况下,创建将您在实例上配置的 PPA 存储库指定为修补操作的源存储库的补丁基准。然后使用 Run Command 在实例上运行补丁基准文档。

示例 3 – Amazon Linux 上的企业内部应用程序

您需要在 Amazon Linux 实例上运行行业监管合规性所需的一些应用程序。您可以为实例上的这些应用程序配置存储库,使用 YUM 对这些应用程序进行初始安装,然后更新或创建新的补丁基准以包括此新企业存储库。在此之后,您可以在实例上使用 Run Command 运行 AWS-RunPatchBaseline 文档,通过 Scan 选项可查看企业软件包是否列在已安装软件包中以及在此实例上是不是最新的。如果它不是最新的,可以使用 Install 选项再次运行该文档来更新应用程序。