如何选择安全性补丁 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何选择安全性补丁

修补程序管理器的主要重点是Amazon Web Services Systems Manager正在为实例安装与安全性相关的操作系统更新。默认情况下,Patch Manager 并非安装所有可用的补丁,而只安装一小部分旨在提高安全性的补丁。

注意

在 Patch Manager 支持的所有基于 Linux 的系统上,您可以选择为实例配置的不同源存储库,通常用于安装非安全性更新。有关信息,请参阅 如何指定备用补丁源存储库 (Linux)

请从以下选项卡中进行选择,了解 Patch Manager 如何为您的操作系统选择安全补丁。

Amazon Linux and Amazon Linux 2

在 Amazon Linux 和 Amazon Linux 2 上,Systems Manager 补丁基准服务使用实例上的预配置存储库。实例上通常有两个预配置存储库(存储库):

  • 存储库amzn-main/latest

    存储库amzn-main-Base

  • 存储库amzn-updates/latest

    存储库amzn-updates-Base

注意

所有更新都是从实例上配置的远程存储库下载的。因此,实例必须能够连接远程存储库,才能执行修补。

Amazon Linux 和 Amazon Linux 2 实例使用 Yum 作为软件包管理器,并且 Yum 使用以名为的文件的形式更新通知的概念。updateinfo.xml。更新通知只是修复特定问题的软件包的集合。Patch Manager 将更新通知中的所有软件包视为安全性软件包。单个软件包未分配分类或严重性级别。因此,Patch Manager 会向相关软件包分配更新通知属性。

注意

如果选择批准的补丁包括非安全性更新” 复选框中的创建补丁基准页面,然后未分类到updateinfo.xml文件(或包含没有正确格式的分类、严重性)和 Date (日期) 值格式不正确)的软件包可以包含在补丁的预筛选列表中。但是,为了应用补丁,补丁仍必须符合用户指定的补丁基准规则。

CentOS

在 CentOS 上,Systems Manager 补丁基准服务使用实例上的预配置存储库(存储库)。以下列表提供了虚构 CentOS 8.2 的示例Amazon Machine Image(AMI):

  • 存储库example-centos-8.2-base

    存储库Example CentOS-8.2 - Base

  • 存储库example-centos-8.2-extras

    存储库Example CentOS-8.2 - Extras

  • 存储库example-centos-8.2-updates

    存储库Example CentOS-8.2 - Updates

  • 存储库example-centos-8.x-examplerepo

    存储库Example CentOS-8.x – Example Repo Packages

注意

所有更新都是从实例上配置的远程存储库下载的。因此,实例必须能够连接远程存储库,才能执行修补。

CentOS 6 和 7 实例使用 Yum 作为程序包管理器。CentOS 8 实例使用 DNF 作为程序包管理器。两个程序包管理器都使用更新通知的概念。更新通知只是修复特定问题的软件包的集合。

但是,CentOS 默认存储库不配置更新通知。这意味着,Patch Manager 不检测默认 CentOS 存储库上的软件包。要允许 Patch Manager 处理更新通知中未包含的软件包,您必须启用补丁基准规则中的 EnableNonSecurity 标记。

注意

支持 CentOS 更新通知。带有更新通知的存储库发布后即可供下载。

Debian Server

在 Debian Server 上,Systems Manager 补丁基准服务使用实例上的预配置存储库(存储库)。这些预配置存储库用于提取可用软件包升级的更新列表。为此,Systems Manager 执行类似于sudo apt-get update命令。

然后,软件包将从debian-security codename存储库 这意味着在 Debian Server 8 上,Patch Manager 只识别属于debian-security jessie。在 Debian Server 9 上,只对于属于的升级debian-security stretch被标识。在 Debian Server 10 上,只对于属于的升级debian-security buster被标识。

注意

仅在 Debian 服务器 8 上:因为一些 Debian 服务器 8.* 实例引用了一个过时的软件包资料库(jessie-backports),Patch Manager 会执行其他步骤来确保修补操作成功。有关更多信息,请参阅 如何安装补丁

Oracle Linux

在 Oracle Linux 上,Systems Manager 补丁基准服务使用实例上的预配置存储库(存储库)。实例上通常有两个预配置存储库。

Oracle Linux 7

  • 存储库ol7_UEKR5/x86_64

    存储库Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

  • 存储库ol7_latest/x86_64

    存储库Oracle Linux 7Server Latest (x86_64)

Oracle Linux 8

  • 存储库ol8_baseos_latest

    存储库Oracle Linux 8 BaseOS Latest (x86_64)

  • 存储库ol8_appstream

    存储库Oracle Linux 8 Application Stream (x86_64)

  • 存储库ol8_UEKR6

    存储库Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

注意

所有更新都是从实例上配置的远程存储库下载的。因此,实例必须能够连接远程存储库,才能执行修补。

Oracle Linux 实例使用 Yum 作为软件包管理器,并且 Yum 使用以名为 updateinfo.xml 的文件形式的更新通知的概念。更新通知只是修复特定问题的软件包的集合。单个软件包未分配分类或严重性级别。因此,Patch Manager 会向相关软件包分配更新通知属性,然后根据补丁基准中指定的分类筛选器安装软件包。

注意

如果选择批准的补丁包括非安全性更新” 复选框中的创建补丁基准页面,然后未分类到updateinfo.xml文件(或包含没有正确格式的分类、严重性)和 Date (日期) 值格式不正确)的软件包可以包含在补丁的预筛选列表中。但是,为了应用补丁,补丁仍必须符合用户指定的补丁基准规则。

RHEL

在 上Red Hat Enterprise Linux时,Systems Manager 补丁基准服务使用实例上的预配置存储库 (存储库)。实例上通常有三个预配置的存储库。

所有更新都是从实例上配置的远程存储库下载的。因此,实例必须能够连接远程存储库,才能执行修补。

注意

如果选择批准的补丁包括非安全性更新” 复选框中的创建补丁基准页面,然后未分类到updateinfo.xml文件(或包含没有正确格式的分类、严重性)和 Date (日期) 值格式不正确)的软件包可以包含在补丁的预筛选列表中。但是,为了应用补丁,补丁仍必须符合用户指定的补丁基准规则。

Red Hat Enterprise Linux7 实例使用 Yum 作为程序包管理器。Red Hat Enterprise Linux8 实例使用 DNF 作为程序包管理器。两个程序包管理器都使用更新通知概念作为名为 updateinfo.xml 的文件。更新通知只是修复特定问题的软件包的集合。单个软件包未分配分类或严重性级别。因此,Patch Manager 会向相关软件包分配更新通知属性,然后根据补丁基准中指定的分类筛选器安装软件包。

回购位置不同于RHEL7 和RHEL8:

RHEL 7
注意

以下存储库 ID 与 RHUI 2 相关联。RHUI 3 于 2019 年 12 月推出,并为 Yum 存储库 ID 引入了不同的命名方案。具体取决于 RHEL-7AMI您从中创建实例,您可能需要更新命令。有关更多信息,请参阅 。RHEL 7 的存储库 IDAmazon已更改Red Hat 客户门户

  • 存储库rhui-REGION-client-config-server-7/x86_64

    存储库Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • 存储库rhui-REGION-rhel-server-releases/7Server/x86_64

    存储库Red Hat Enterprise Linux Server 7 (RPMs)

  • 存储库rhui-REGION-rhel-server-rh-common/7Server/x86_64

    存储库Red Hat Enterprise Linux Server 7 RH Common (RPMs)

RHEL8
  • 存储库rhel-8-appstream-rhui-rpms

    存储库Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

  • 存储库编号rhel-8-baseos-rhui-rpms

    存储库Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

  • 存储库编号rhui-client-config-server-8

    存储库Red Hat Update Infrastructure 3 Client Configuration Server 8

SLES

在 SUSE Linux Enterprise Server (SLES) 实例上,ZYPP 库从以下位置获取可用补丁的列表(软件包的集合):

  • 存储库的列表:etc/zypp/repos.d/*

  • 软件包信息:/var/cache/zypp/raw/*

SLES 实例使用 Zypper 作为软件包管理器,并且 Zypper 使用补丁的概念。补丁只是修复特定问题的软件包的集合。Patch Manager 将补丁中引用的所有软件包都处理为与安全性相关。因为没有为单个软件包提供分类或严重性,所以 Patch Manager 为软件包分配它们属于的补丁的属性。

Ubuntu Server

在 Ubuntu Server 上,Systems Manager 补丁基准服务使用实例上的预配置存储库(存储库)。这些预配置存储库用于提取可用软件包升级的更新列表。为此,Systems Manager 执行类似于sudo apt-get update命令。

然后,软件包将从codename-security存储库,其中代号对于发行版本是唯一的,例如trustyUbuntu 服务器 14。补丁管理器只识别属于这些存储库的升级:

  • Ubuntu 服务器 14.04 LTS:trusty-security

  • Ubuntu 服务器 16.04 LTS:xenial-security

  • Ubuntu 服务器 18.04 LTS:bionic-security

  • Ubuntu 服务器 20.04 LTS:focal-security

  • 乌班图服务器 20.10 STR:groovy-gorilla

Windows

在 Microsoft Windows 操作系统上,Patch Manager 检索 Microsoft 发布到 Microsoft 更新并自动可用于 Windows Server Update (WSUS) 的可用更新列表。

Patch Manager 将在每个Amazon Web Services 区域。每个区域每天至少刷新一次可用更新的列表。当处理来自 Microsoft 的补丁信息时,Patch Manager 会删除由其补丁列表中的后续更新取代的更新。因此,Patch Manager 只显示最新更新,以供您安装。例如,如果 KB4012214 取代了 KB3135456,则 Patch Manager 只将 KB4012214 显示为更新。

注意

Patch Manager 仅为支持 Patch Manager 的 Windows Server 操作系统版本提供可用补丁。例如,Patch Manager 不能用于修补 Windows RT。