AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如何选择安全性补丁

Patch Manager 的主要设计意图在于为实例安装与安全性相关的操作系统更新。默认情况下,Patch Manager 并非安装所有可用的补丁,而只安装一小部分旨在提高安全性的补丁。

注意

在 Patch Manager 支持的所有基于 Linux 的系统上,您可以选择为实例配置的不同源存储库,通常用于安装非安全性更新。有关信息,请参阅 如何指定备用补丁源存储库 (Linux)

请从以下选项卡中进行选择,了解 Patch Manager 如何为您的操作系统选择安全补丁。

WindowsAmazon Linux and Amazon Linux 2RHELUbuntuSLESCentOS
Windows

在 Microsoft Windows 操作系统上,Patch Manager 检索 Microsoft 通过其更新服务(如 Microsoft 更新和 Windows Server Update Services (WSUS))发布的可用更新的列表。Patch Manager 将在每个 AWS 区域持续监控新更新。每个区域每天至少刷新一次可用更新的列表。在处理来自 Microsoft 的补丁信息时,Patch Manager 会删除已被其补丁列表中的后续更新取代的更新。因此,Patch Manager 只显示最新更新,以供您安装。例如,如果 KB4012214 取代了 KB3135456,则 Patch Manager 只将 KB4012214 显示为更新。

注意

Patch Manager 仅为支持 Patch Manager 的 Windows Server 操作系统版本提供可用补丁。例如,Patch Manager 不能用于修补 Windows Server 2003 或 Windows RT。

Amazon Linux and Amazon Linux 2

在 Amazon Linux 和 Amazon Linux 2 上,Systems Manager 补丁基准服务使用实例上的预配置存储库。实例上通常有两个预配置存储库(存储库):

  • 存储库 ID:amzn-main/latest

    存储库名称:amzn-main-Base

  • 存储库 ID:amzn-updates/latest

    存储库名称:amzn-updates-Base

注意

所有更新都是从实例上配置的远程存储库下载的。因此,实例必须能够连接远程存储库,才能执行修补。

Amazon Linux 和 Amazon Linux 2 实例使用 Yum 作为软件包管理器,并且 Yum 使用以名为 updateinfo.xml 的文件的形式更新通知的概念。更新通知只是修复特定问题的软件包的集合。Patch Manager 将更新通知中的所有软件包视为安全性软件包。单个软件包未分配分类或严重性级别。因此,Patch Manager 会向相关软件包分配更新通知属性。

注意

如果您在 Create patch baseline (创建补丁基准) 页面选中了 Approved patches include non-security updates (已批准的补丁包括非安全性更新) 复选框,则未在 updateinfo.xml 文件(或包含无正确格式的分类、严重性和日期值的文件的软件包)中分类的软件包可以包含在预筛选的补丁列表中。但是,为了应用补丁,补丁仍必须符合用户指定的补丁基准规则。

RHEL

在 Red Hat Enterprise Linux 上,Systems Manager 补丁基准服务使用实例上的预配置存储库(存储库)。实例上通常有三个预配置存储库:

  • 存储库 ID:rhui-REGION-client-config-server-7/x86_64

    存储库名称:Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • 存储库 ID:rhui-REGION-rhel-server-releases/7Server/x86_64

    存储库名称:Red Hat Enterprise Linux Server 7 (RPMs)

  • 存储库 ID:rhui-REGION-rhel-server-rh-common/7Server/x86_64

    存储库名称:Red Hat Enterprise Linux Server 7 RH Common (RPMs)

注意

所有更新都是从实例上配置的远程存储库下载的。因此,实例必须能够连接远程存储库,才能执行修补。

Red Hat Enterprise Linux 实例使用 Yum 作为软件包管理器,并且 Yum 使用以名为 updateinfo.xml 的文件的形式更新通知的概念。更新通知只是修复特定问题的软件包的集合。Patch Manager 将更新通知中的所有软件包视为安全性软件包。单个软件包未分配分类或严重性级别。因此,Patch Manager 会向相关软件包分配更新通知属性。

注意

如果您在 Create patch baseline (创建补丁基准) 页面选中了 Approved patches include non-security updates (已批准的补丁包括非安全性更新) 复选框,则未在 updateinfo.xml 文件(或包含无正确格式的分类、严重性和日期值的文件的软件包)中分类的软件包可以包含在预筛选的补丁列表中。但是,为了应用补丁,补丁仍必须符合用户指定的补丁基准规则。

Ubuntu

在 Ubuntu Server 上,Systems Manager 补丁基准服务使用实例上的预配置存储库(存储库)。这些预配置存储库用于提取可用软件包升级的更新列表。在这一点上,Systems Manager 的作用类似于 sudo apt-get update 命令。

然后,从 codename-security 存储库筛选软件包,其中代号为与 trustyxenial 类似的内容。例如,在 Ubuntu Server 14 上,Patch Manager 只识别属于 trusty-security 的升级。在 Ubuntu Server 上,只识别属于 xenial-security 的升级。

SLES

在 SUSE Linux Enterprise Server (SLES) 实例上,ZYPP 库从以下位置获取可用补丁的列表(软件包的集合):

  • 存储库的列表:etc/zypp/repos.d/*

  • 软件包信息:/var/cache/zypp/raw/*

SLES 实例使用 Zypper 作为软件包管理器,并且 Zypper 使用补丁的概念。补丁只是修复特定问题的软件包的集合。Patch Manager 将补丁中引用的所有软件包都处理为与安全性相关。因为没有为单个软件包提供分类或严重性,所以 Patch Manager 为软件包分配它们属于的补丁的属性。

CentOS

在 CentOS 上,Systems Manager 补丁基准服务使用实例上的预配置存储库(存储库)。下面是 CentOS 6.9 Amazon 系统映像 (AMI) 中的一些示例:

  • 存储库 ID:ultra-centos-6.9-base

    存储库名称:UltraServe CentOS-6.9 - Base

  • 存储库 ID:ultra-centos-6.9-extras

    存储库名称:UltraServe CentOS-6.9 - Extras

  • 存储库 ID:ultra-centos-6.9-updates

    存储库名称:UltraServe CentOS-6.9 - Updates

  • 存储库 ID:ultra-centos-6.x-glusterfs

    存储库名称:UltraServe CentOS-6.x - GlusterFS

  • 存储库 ID:ultra-centos-6.x-ultrarepo

    存储库名称:UltraServe CentOS-6.x – UltraServe Repo Packages

注意

所有更新都是从实例上配置的远程存储库下载的。因此,实例必须能够连接远程存储库,才能执行修补。

CentOS 实例使用 Yum 作为软件包管理器,并且 Yum 使用更新通知的概念。更新通知只是修复特定问题的软件包的集合。Patch Manager 将更新通知中的所有软件包视为安全性软件包。

但是,CentOS 默认存储库不配置更新通知。这意味着,Patch Manager 不检测默认 CentOS 存储库上的软件包。要允许 Patch Manager 处理更新通知中未包含的软件包,您必须启用补丁基准规则中的 EnableNonSecurity 标记。

注意

支持 CentOS 更新通知。带有更新通知的存储库发布后即可供下载。