AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

补丁基准规则在基于 Linux 的系统上的工作原理

对于 Linux 分发版,补丁基准中规则的工作方式因分发版类型的不同而有所差异。与 Windows 实例上的补丁更新不同,规则将在每个实例上进行评估,以考虑此实例上配置的存储库。Patch Manager 使用本机软件包管理器驱动补丁基准批准的补丁的安装。

补丁基准规则在 Amazon Linux 和 Amazon Linux 2 上的工作原理

在 Amazon Linux 和 Amazon Linux 2 上,补丁选择过程如下:

  1. 在实例上,YUM 库访问每个配置的存储库的 updateinfo.xml 文件。

    注意

    如果找不到 updateinfo.xml 文件,则不会应用任何补丁。

  2. updateinfo.xml 中的每个更新通知都包含几个属性,它们表示通知中的软件包的属性,如下表所述。

    更新通知属性

    属性 描述
    type

    对应于补丁基准的 PatchFilter 数据类型中 Classification 键属性的值。表示更新通知中包含的软件包的类型。

    You can view the list of supported values by using the AWS CLI command describe-patch-properties or the API action DescribePatchProperties. You can also view the list in the Approval rules area of the Create patch baseline page or Edit patch baseline page in the Systems Manager console.

    severity

    对应于补丁基准的 PatchFilter 数据类型中 Severity 键属性的值。表示更新通知中包含的软件包的严重性。通常只适用于安全性 更新通知。

    You can view the list of supported values by using the AWS CLI command describe-patch-properties or the API action DescribePatchProperties. You can also view the list in the Approval rules area of the Create patch baseline page or Edit patch baseline page in the Systems Manager console.

    update_id

    表示建议 ID,例如 ALAS-2017-867。补丁基准中的 ApprovedPatchesRejectedPatches 属性可以使用建议 ID。

    重点

    包含有关更新通知的其他信息,例如 CVE ID (格式:CVE-2017-1234567)。补丁基准中的 ApprovedPatchesRejectedPatches 属性可以使用 CVE ID。

    updated

    对应于补丁基准中的 ApproveAfterDays。表示更新通知中包含的软件包的发布日期 (更新的日期)。将当前时间戳与此属性的值比较并配合 ApproveAfterDays 可用来确定补丁是否已获得部署批准。

    注意

    有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式

  3. 实例的产品由 SSM 代理 确定。此属性对应于补丁基准的 PatchFilter 数据类型中 Product 键属性的值。

  4. 根据以下准则为更新选择软件包:

    安全性选项 补丁选择

    AWS 提供的预定义的默认补丁基准和 Approved patches include non-security updates (已批准的补丁包括非安全性更新) 选中的自定义补丁基准

    对于 updateinfo.xml 中的每个更新通知,补丁基准用作筛选器,只允许更新包含符合条件的软件包。如果应用补丁基准定义后有多个软件包适用,则使用最新版本。

    此工作流程的等效 yum 命令为:

    sudo yum update-minimal --sec-severity=critical,important --bugfix

    Approved patches include non-security updates (已批准的补丁包括非安全性更新) 选中的自定义补丁基准

    除了应用已从 updateinfo.xml 选择的安全性更新,Patch Manager 还会应用符合补丁筛选规则的非安全性更新。

    此工作流程的等效 yum 命令为:

    sudo yum update --security --bugfix

有关补丁合规性状态值的信息,请参阅 关于补丁合规性状态

补丁基准规则在 RHEL 上的工作原理

在 Red Hat Enterprise Linux 上,补丁选择过程如下:

  1. 在实例上,YUM 库访问每个配置的存储库的 updateinfo.xml 文件。

    注意

    如果存储库不是由 Red Hat 管理的,可能不存在 updateinfo.xml 文件。如果找不到 updateinfo.xml,则不会应用任何补丁。

  2. updateinfo.xml 中的每个更新通知都包含几个属性,它们表示通知中的软件包的属性,如下表所述。

    更新通知属性

    属性 描述
    type

    对应于补丁基准的 PatchFilter 数据类型中 Classification 键属性的值。表示更新通知中包含的软件包的类型。

    You can view the list of supported values by using the AWS CLI command describe-patch-properties or the API action DescribePatchProperties. You can also view the list in the Approval rules area of the Create patch baseline page or Edit patch baseline page in the Systems Manager console.

    severity

    对应于补丁基准的 PatchFilter 数据类型中 Severity 键属性的值。表示更新通知中包含的软件包的严重性。通常只适用于安全性 更新通知。

    You can view the list of supported values by using the AWS CLI command describe-patch-properties or the API action DescribePatchProperties. You can also view the list in the Approval rules area of the Create patch baseline page or Edit patch baseline page in the Systems Manager console.

    update_id

    表示建议 ID,例如 RHSA-2017:0864。补丁基准中的 ApprovedPatchesRejectedPatches 属性可以使用建议 ID。

    重点

    包含有关更新通知的其他信息,例如 CVE ID (格式:CVE-2017-1000371) 或 Bugzilla ID (格式:1463241)。补丁基准中的 ApprovedPatchesRejectedPatches 属性可以使用 CVE ID 和 Bugzilla ID。

    updated

    对应于补丁基准中的 ApproveAfterDays。表示更新通知中包含的软件包的发布日期 (更新的日期)。将当前时间戳与此属性的值比较并配合 ApproveAfterDays 可用来确定补丁是否已获得部署批准。

    注意

    有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式

  3. 实例的产品由 SSM 代理 确定。此属性对应于补丁基准的 PatchFilter 数据类型中 Product 键属性的值。

  4. 根据以下准则为更新选择软件包:

    安全性选项 补丁选择

    AWS 提供的预定义的默认补丁基准和 Approved patches include non-security updates (已批准的补丁包括非安全性更新) 选中的自定义补丁基准

    对于 updateinfo.xml 中的每个更新通知,补丁基准用作筛选器,只允许更新包含符合条件的软件包。如果应用补丁基准定义后有多个软件包适用,则使用最新版本。

    此工作流程的等效 yum 命令为:

    sudo yum update-minimal --sec-severity=critical,important --bugfix

    Approved patches include non-security updates (已批准的补丁包括非安全性更新) 选中的自定义补丁基准

    除了应用已从 updateinfo.xml 选择的安全性更新,Patch Manager 还会应用符合补丁筛选规则的非安全性更新。

    此工作流程的等效 yum 命令为:

    sudo yum update --security --bugfix

有关补丁合规性状态值的信息,请参阅 关于补丁合规性状态

补丁基准规则在 Ubuntu Server 上的工作原理

在 Ubuntu Server上,补丁基准服务提供对 Priority (优先级)Section (部分) 字段的筛选。这些字段通常存在于所有 Ubuntu Server 软件包中。为确定补丁基准是否选择了某个补丁,Patch Manager 执行以下操作:

  1. 在 Ubuntu 系统上,运行等效于 sudo apt-get update 的程序刷新可用软件包列表。不配置存储库,从 sources 列表中配置的存储库提取数据。

  2. 接下来将应用 GlobalFiltersApprovalRulesApprovedPatchesRejectedPatches 列表。只选择分发版安全存储库 (存档) 中存在候选版本的软件包。对于 Ubuntu Server 14,此存储库为 trusty-security。对于 Ubuntu Server 16,它是 xenial-security

    注意

    有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式

要查看 PrioritySection 字段的内容,运行以下 aptitude 命令:

注意

您需要先在 Ubuntu Server 16 系统上安装 Aptitude。

aptitude search -F '%p %P %s %t %V#' '~U'

在对此命令的响应中,按以下格式报告所有可升级软件包:

name, priority, section, archive, candidate version

有关补丁合规性状态值的信息,请参阅 关于补丁合规性状态

补丁基准规则在 SUSE Linux Enterprise Server 上的工作原理

在 SLES 上,每个补丁包括以下表示补丁中的软件包的属性的属性:

  • Category:对应于补丁基准的 PatchFilter 数据类型中的 Classification 键属性的值。表示更新通知中包含的补丁的类型。

    You can view the list of supported values by using the AWS CLI command describe-patch-properties or the API action DescribePatchProperties. You can also view the list in the Approval rules area of the Create patch baseline page or Edit patch baseline page in the Systems Manager console.

  • Severity:对应于补丁基准的 PatchFilter 数据类型中 Severity 键属性的值。表示补丁的严重性。

    You can view the list of supported values by using the AWS CLI command describe-patch-properties or the API action DescribePatchProperties. You can also view the list in the Approval rules area of the Create patch baseline page or Edit patch baseline page in the Systems Manager console.

实例的产品由 SSM 代理 确定。此属性对应于补丁基准的 PatchFilter 数据类型中 Product 键属性的值。

对于每个补丁,补丁基准用作筛选器,只允许更新包含符合条件的软件包。如果应用补丁基准定义后有多个软件包适用,则使用最新版本。

注意

有关批准的修补程序和拒绝的修补程序列表的接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式