关于预定义和自定义补丁基准 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

关于预定义和自定义补丁基准

Patch Manager ( Amazon Systems Manager 的一个功能)为 Patch Manager 支持的每个操作系统提供预定义补丁基准。您可以按照当前配置的方式使用这些基准(无法自定义它们),也可以创建您自己的自定义补丁基准。自定义补丁基准允许您更好地控制在您的环境下批准或拒绝哪些补丁。此外,预定义基准会为使用这些基准安装的所有补丁分配 Unspecified 合规性级别。对于要分配的合规性值,您可以创建预定义基准的副本,并指定要分配给补丁的合规性值。有关更多信息,请参阅 关于自定义基准使用自定义补丁基准(控制台)

关于预定义基准

下表介绍了 Patch Manager 提供的预定义补丁基准。

有关 Patch Manager 支持各操作系统的哪些版本的信息,请参阅 Patch Manager先决条件

名称 支持的操作系统 详细信息

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还将自动批准分类为“缺陷修正”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还批准分类为“缺陷修正”的所有补丁。补丁将在发布后 7 天自动批准。¹
AWS-AmazonLinux2022DefaultPatchBaseline Amazon Linux 2022

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。补丁将在发布后 7 天自动批准。在发布 7 天后还批准分类为“缺陷修正”的所有补丁。

AWS-CentOSDefaultPatchBaseline CentOS 和 CentOS Stream 在所有更新可用 7 天后批准这些更新(包括非安全性更新)。
AWS-DebianDefaultPatchBaseline Debian Server 立即批准优先级为“Required”、“Important”、“Standard”、“Optional”或“Extra”的与操作系统安全相关的所有补丁。由于存储库中未提供可靠的发布日期,因此批准之前无需等待。
AWS-MacOSDefaultPatchBaseline macOS 批准分类为“Security”的所有操作系统补丁。同时批准具有当前更新的所有软件包。
AWS-OracleLinuxDefaultPatchBaseline Oracle Linux 批准分类为“Security”且严重性等级为“重要”或“中等”的所有操作系统补丁。在发布 7 天后还批准分类为“Bugfix”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹
AWS-DefaultRaspbianPatchBaseline Raspberry Pi OS 立即批准优先级为“Required”、“Important”、“Standard”、“Optional”或“Extra”的与操作系统安全相关的所有补丁。由于存储库中未提供可靠的发布日期,因此批准之前无需等待。

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还批准分类为“Bugfix”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-RockyLinuxDefaultPatchBaseline

Rocky Linux

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还批准分类为“Bugfix”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server (SLES) 批准分类为“Security”且严重性为“严重”或“重要”的所有操作系统补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

立即批准优先级为“Required”、“Important”、“Standard”、“Optional”或“Extra”的与操作系统安全相关的所有补丁。由于存储库中未提供可靠的发布日期,因此批准之前无需等待。

AWS-DefaultPatchBaseline

Windows Server

批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有 Windows Server 操作系统补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有 Windows Server 操作系统补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server 对于 Windows Server 操作系统,批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有补丁。对于 Microsoft 发布的应用程序,批准所有补丁。在发布或更新后 7 天自动批准操作系统和应用程序的补丁。¹

¹ 对于 Amazon Linux 和 Amazon Linux 2,补丁自动批准前的 7 天等待时间根据 updateinfo.xml 中的 Updated Date 值,而不是 Release Date 值计算。有多种因素会影响 Updated Date 值。其他操作系统处理发布和更新日期的方式有所不同。有关帮助您避免自动批准延迟的意外结果的信息,请参阅 如何计算软件包发布日期和更新日期

关于自定义基准

如果您创建自己的补丁基准,则可使用以下类别选择自动批准哪些补丁。

  • 操作系统:Windows、Amazon Linux、Ubuntu Server 等。

  • 产品名称(对于操作系统):例如,RHEL 6.5、Amazon Linux 2014.09、Windows 服务器 2012、Windows 服务器 2012 R2 等。

  • 产品名称(仅对于 Windows Server 上 Microsoft 发布的应用程序):例如,Word 2016、BizTalk 服务器等。

  • 分类:例如,关键更新、安全更新等。

  • 严重性:例如,关键、重要等

对于您创建的每个批准规则,您可以选择指定自动批准延迟或指定补丁批准截止日期。

注意

由于无法可靠地确定 Ubuntu Server 的更新程序包的发布日期,因此此操作系统不支持自动批准选项。

自动批准延迟是发布或最后更新补丁后到自动批准补丁用于修补前等待的天数。例如,如果您使用 CriticalUpdates 分类创建一条规则并将其自动批准延迟配置为 7 天,则将在 7 月 14 日自动批准 7 月 7 日发布的新关键补丁。

注意

如果 Linux 存储库不提供软件包的发布日期信息,Systems Manager 使用软件包的构建时间作为 Amazon Linux、 Amazon Linux 2、RHEL 和 CentOS 的自动批准延迟。如果系统无法找到软件包的构建时间,Systems Manager 会将自动批准延迟视为零值。

当您指定自动批准截止日期时,Patch Manager 会自动应用在该日期或之前发布或最后更新的所有补丁。例如,如果将 2020 年 7 月 7 日指定为截止日期,则不会自动安装在 2020 年 7 月 8 日或之后发布或最后更新的任何补丁。

您还可以指定合规性严重性级别。如果经批准的补丁报告为缺失,则 Compliance Level 是违反合规性的严重性。

创建补丁基准时,请牢记以下信息:

  • Patch Manager 为每个受支持的操作系统提供一个预定义的补丁基准。这些预定义的补丁基准将被用作每个操作系统类型的默认补丁基准,除非您创建自己的补丁基准,并将其指定为相应操作系统类型的默认补丁基准。

    注意

    适用于 Windows Server,提供三个预定义的补丁基准。补丁基准 AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS 仅支持 Windows 操作系统本身的操作系统更新。除非您指定了其他补丁基准,AWS-DefaultPatchBaseline 用作 Windows Server 托管式节点的默认补丁基准。这两个补丁基准中的配置设置是相同的。两者中较新的,AWS-WindowsPredefinedPatchBaseline-OS 被创建来区分它和 Windows Server 的第三个预定义补丁基准。补丁基准 AWS-WindowsPredefinedPatchBaseline-OS-Applications,可用于将补丁应用到 Windows Server 操作系统和 Microsoft 发布的受支持的应用程序。

  • 对于本地服务器和虚拟机 (VM),Patch Manager 尝试使用您的自定义默认补丁基准。如果不存在自定义默认补丁基准,系统将使用相应操作系统的预定义补丁基准。

  • 如果某个补丁在相同的补丁基准中同时被列为已批准和已拒绝,则该补丁将被拒绝。

  • 一个托管式节点只能有一个定义的补丁基准。

  • 可以添加到补丁基准的已批准补丁和已拒绝补丁列表中的软件包名称格式取决于您正在修补的操作系统的类型。

    有关已批准的补丁和已拒绝的补丁列表的已接受格式的信息,请参阅 关于已批准补丁和已拒绝补丁列表的软件包名称格式

有关创建补丁基准的信息,请参阅 使用自定义补丁基准(控制台)演练:修补服务器环境(Amazon CLI)