如何指定备用补丁源存储库 (Linux) - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何指定备用补丁源存储库 (Linux)

当您使用实例上配置的默认存储库执行修补操作时,Patch Manager(Amazon Web Services Systems Manager,扫描或安装与安全相关的修补程序。这是 Patch Manager 的默认行为。有关 Patch Manager 如何选择和安装安全性补丁的完整信息,请参阅如何选择安全性补丁

不过,在 Linux 系统上,您还可以使用 Patch Manager 来安装与安全性无关的补丁,或与实例上配置的默认源存储库不同的源存储库中的补丁。您可以在创建自定义补丁基准时指定备用补丁源存储库。在每个自定义补丁基准中,您可以为多达 20 个版本的受支持的 Linux 操作系统指定补丁源配置。

例如,假设您的 Ubuntu 服务器队列同时包括 Ubuntu 服务器 14.04 和 Ubuntu Server 16.04 实例。在这种情况下,您可以在相同的自定义补丁基准中为每个版本指定备用存储库。对于每个版本,您提供名称,指定操作系统版本类型 (产品),并提供存储库配置。您也可以指定适用于所有版本的受支持的操作系统的单个备用源存储库。

注意

运行指定实例上的备用补丁存储库的自定义补丁基准不会更改为实例配置的默认存储库。

有关使用此选项的示例场景的列表,请参阅本主题后面的备用补丁源存储库的示例用法

有关默认和自定义补丁基准的信息,请参阅关于预定义和自定义补丁基准

示例:使用控制台

要在 Systems Manager 控制台中指定备用补丁源存储库,请使用补丁源部分中的创建补丁基准页. 有关使用 Patch sources (补丁源) 选项的信息,请参阅创建自定义补丁基准 (Linux)

示例:使用 Amazon CLI

有关使用--sources选项,Amazon命令行界面 (AmazonCLI),请参阅创建对不同操作系统版本使用自定义存储库的补丁基准

备用存储库的重要注意事项

使用备用补丁存储库计划修补策略时,请注意以下几点:

只指定用于修补的存储库

指定备用存储库并不意味着指定额外 存储库。您可以选择指定配置为实例默认存储库以外的存储库。但是,如果需要应用默认存储库更新,还必须在备用补丁源配置中指定默认存储库。

例如,在 Amazon Linux 2 实例上,默认存储库为amzn-mainamzn-update。如果需要在修补操作中包括 Extra Packages for Enterprise Linux (EPEL) 存储库,您必须将所有三个存储库都指定为备用存储库。

注意

运行指定实例的备用补丁存储库的自定义补丁基准不会使这些存储库成为新的默认存储库。修补操作完成后,以前定义为默认值的存储库仍然是为实例配置的默认存储库。

基于 YUM 的分发版本的修补行为取决于 updateinfo.xml 清单

当您为基于 YM 的分发(如亚马逊 Linux 或亚马逊 Linux)指定备用补丁程序存储库时,Red Hat Enterprise Linux或 CentOS,修补行为取决于存储库是否包含以完整且格式正确)的更新清单updateinfo.xml文件。此文件指定各软件包的发行日期、分类和严重性。以下任一项都会影响修补行为:

  • 如果按 Classification (分类)Severity (严重性) 筛选,但在 updateinfo.xml 中并未指定它们,筛选器将不会包含此软件包。这也意味着没有 updateinfo.xml 文件的软件包不会包含在修补中。

  • 如果按 ApprovalAfterDays 筛选,但软件包的发行日期不是 Unix Epoch 格式(或未指定发行日期),筛选器将不会包含此软件包。

  • 如果您选择批准的补丁包括非安全性更新” 复选框中的创建补丁基准页. 在这种情况下,没有 updateinfo.xml 文件(或包含此文件但 Classification (分类)Severity (严重性)Date (日期) 值格式不正确)的软件包包含在补丁的预筛选列表中。(它们仍必须满足其他补丁基准规则要求才能安装。)

备用补丁源存储库的示例用法

示例 1 — Ubuntu 服务器的非安全性更新

您已使用 Patch Manager 来在 Ubuntu Server 实例队列上安装安全补丁,使用Amazon提供的预定义修补程序基准AWS-UbuntuDefaultPatchBaseline。您可以创建基于此默认补丁基准的新补丁基准,但在批准规则中指定您也希望安装属于默认分配的一部分的与安全性无关的更新。当对您的实例运行此补丁基准时,将应用针对安全性和非安全性问题的补丁。您还可以选择在为基准指定的补丁异常中批准非安全性补丁。

示例 2 — Ubuntu 服务器的个人程序包存档 (PPA)

您的 Ubuntu Server 实例运行通过 Ubuntu 的个人软件包存档 (PPA) 分配的软件。在这种情况下,创建将您在实例上配置的 PPA 存储库指定为修补操作的源存储库的补丁基准。然后使用 Run Command 在实例上运行补丁基准文档。

示例 3 — Amazon Linux 上的企业内部应用程序

您需要在 Amazon Linux 实例上运行行行行行行行行行行行行行行行行行行监管合规性所需的 您可以为实例上的这些应用程序配置存储库,使用 YUM 对这些应用程序进行初始安装,然后更新或创建新的补丁基准以包括此新企业存储库。之后,您可以使用 “运行命令” 运行AWS-RunPatchBaseline文档Scan选项来查看企业软件包是否列在已安装软件包中以及是否最新。如果它不是最新的,可以使用 Install 选项再次运行该文档来更新应用程序。