Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wie Patches installiert werden
Patch Manager, eine Fähigkeit von AWS Systems Manager, verwendet den geeigneten integrierten Mechanismus für einen Betriebssystemtyp, um Updates auf einem verwalteten Knoten zu installieren. Zum Beispiel auf Windows Server, das Windows Update API wird verwendet, und auf Amazon Linux 2 wird der yum
Paketmanager verwendet.
Wählen Sie aus den folgenden Tabs, um zu erfahren, wie Patch Manager installiert Patches auf einem Betriebssystem.
- Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023
-
Auf den verwalteten Knoten Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 und Amazon Linux 2023 sieht der Ablauf der Patch-Installation wie folgt aus:
-
Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des
InstallOverrideList
Parameters für dieAWS-RunPatchBaselineAssociation
DokumenteAWS-RunPatchBaseline
oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen. -
Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.
-
Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.
Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.
Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.
Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.
-
Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.
-
Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.
-
Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.
-
Das YUM Update API (Amazon Linux 1, Amazon Linux 2) oder das DNF Update API (Amazon Linux 2022, Amazon Linux 2023) wird wie folgt auf genehmigte Patches angewendet:
-
Für vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, werden nur die in
updateinfo.xml
angegebenen Patches angewendet (nur Sicherheitsupdates). Dies liegt daran, dass das Kontrollkästchen Funktionsupdates einschließen nicht aktiviert ist. Die vordefinierten Baselines entsprechen einer benutzerdefinierten Baseline mit folgenden Eigenschaften:-
Das Kontrollkästchen Funktionsupdates einschließen ist nicht aktiviert
-
Eine SEVERITY Liste von
[Critical, Important]
-
Eine CLASSIFICATION Liste von
[Security, Bugfix]
Für Amazon Linux 1 und Amazon Linux 2 lautet der entsprechende yum-Befehl für diesen Workflow:
sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y
Für Amazon Linux 2022 und Amazon Linux 2023 lautet der entsprechende dnf-Befehl für diesen Workflow:
sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y
Wenn das Kontrollkästchen Funktionsupdates einschließen aktiviert ist, werden alle Patches angewendet (Sicherheits- und Funktionsupdates), die in
updateinfo.xml
und nicht inupdateinfo.xml
sind.Wenn für Amazon Linux 1 und Amazon Linux 2 eine Baseline mit Include Nonsecurity Updates ausgewählt ist, eine SEVERITY Liste von
[Critical, Important]
und eine CLASSIFICATION Liste von enthält[Security, Bugfix]
, lautet der entsprechende yum-Befehl:sudo yum update --security --sec-severity=Critical,Important --bugfix -y
Für Amazon Linux 2022 und Amazon Linux 2023 lautet der entsprechende dnf-Befehl:
sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
Anmerkung
Für Amazon Linux 2022 und Amazon Linux 2023 entspricht ein Patch-Schweregrad von
Medium
einem Schweregrad vonModerate
, der in einigen externen Repositories definiert sein könnte. Wenn Sie Patches mit demMedium
-Schweregrad in die Patch-Baseline aufnehmen, werden auch Patches mit demModerate
-Schweregrad von externen Patches auf den Instances installiert.Wenn Sie mithilfe der Aktion Compliance-Daten abfragen API DescribeInstancePatches, wenn nach dem Schweregrad gefiltert wird
Medium
, werden Patches mit dem SchweregradMedium
sowohl als auch gemeldetModerate
.Amazon Linux 2022 und Amazon Linux 2023 unterstützen auch den Patch-Schweregrad
None
, der vom DNF Paketmanager erkannt wird. -
-
-
Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der
RebootOption
ParameterNoReboot
imAWS-RunPatchBaseline
Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)
-
- CentOS and CentOS Stream
-
Auf CentOS und CentOS Stream Bei verwalteten Knoten sieht der Arbeitsablauf für die Patch-Installation wie folgt aus:
-
Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des
InstallOverrideList
Parameters für dieAWS-RunPatchBaselineAssociation
DokumenteAWS-RunPatchBaseline
oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen.Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.
-
Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.
Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.
Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.
Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.
-
Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.
-
Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.
-
Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.
-
Das YUM Update API (auf CentOS 6.x- und 7.x-Versionen) oder das DNF Update (auf CentOS 8 und CentOS Stream) wird auf genehmigte Patches angewendet.
-
Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der
RebootOption
ParameterNoReboot
imAWS-RunPatchBaseline
Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)
-
- Debian Server and Raspberry Pi OS
-
Ein Debian Server and Raspberry Pi OS Bei Instanzen (früher Raspbian) sieht der Arbeitsablauf für die Patch-Installation wie folgt aus:
-
Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des
InstallOverrideList
Parameters für dieAWS-RunPatchBaselineAssociation
DokumenteAWS-RunPatchBaseline
oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen. -
Wenn eine Aktualisierung für
python3-apt
(eine Python-Bibliotheks-Schnittstelle zulibapt
) verfügbar ist, wird es auf die neueste Version aktualisiert. (Dieses nicht sicherheitsrelevante Paket wird aktualisiert, auch wenn Sie die Option Mit nicht sicherheitsrelevanten Updates nicht ausgewählt haben.)Wichtig
Ein Debian Server Nur 8: Weil einige Debian Server 8.* verwaltete Knoten verweisen auf ein veraltetes Paket-Repository (
jessie-backports
), Patch Manager führt die folgenden zusätzlichen Schritte durch, um sicherzustellen, dass die Patch-Operationen erfolgreich sind:-
Auf Ihrem verwalteten Knoten wird der Verweis auf das Repository
jessie-backports
aus der Liste der Quellspeicherorte (/etc/apt/sources.list.d/jessie-backports
) auskommentiert. Daher wird nicht versucht, Patches von diesem Speicherort herunterzuladen. -
Ein Signaturschlüssel für Stretch-Sicherheitsupdates wird importiert. Dieser Schlüssel bietet die erforderlichen Berechtigungen für die Aktualisierungs- und Installationsvorgänge auf Debian Server 8.* Distributionen.
-
Zu diesem Zeitpunkt wird eine
apt-get
-Operation ausgeführt, um sicherzustellen, dass die neueste Version vonpython3-apt
installiert ist, bevor der Patch-Prozess beginnt. -
Wenn die Installation abgeschlossen ist, wird der Verweis auf das Repository
jessie-backports
wiederhergestellt und der Signaturschlüssel wird aus dem Schlüsselbund von APT Sources entfernt. Dies erfolgt, damit die Systemkonfiguration so belassen wird, wie sie vor der Patch-Operation war.
Das nächste Mal Patch Manager aktualisiert das System, derselbe Vorgang wird wiederholt.
-
-
Bewerben GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.
-
Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.
Anmerkung
Weil es nicht möglich ist, die Veröffentlichungsdaten von Updatepaketen für zuverlässig zu ermitteln Debian Server, die Optionen für die automatische Genehmigung werden für dieses Betriebssystem nicht unterstützt.
Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.
Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.
Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.
Anmerkung
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Debian Server and Raspberry Pi OS, Patch-Candidate-Versionen sind auf die in
debian-security
enthaltenen Patches beschränkt. -
Bewerben ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.
-
Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.
-
Die APT Bibliothek wird zum Aktualisieren von Paketen verwendet.
Anmerkung
Patch Manager unterstützt nicht die Verwendung der APT
Pin-Priority
Option, Paketen Prioritäten zuzuweisen. Patch Manager aggregiert verfügbare Updates aus allen aktivierten Repositorys und wählt das neueste Update aus, das der Baseline für jedes installierte Paket entspricht. -
Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der
RebootOption
ParameterNoReboot
imAWS-RunPatchBaseline
Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)
-
- macOS
-
Ein macOS verwaltete Knoten, der Arbeitsablauf für die Patch-Installation sieht wie folgt aus:
-
Die
/Library/Receipts/InstallHistory.plist
-Eigenschaft ist ein Datensatz der Software, die mit densoftwareupdate
- undinstaller
-Paketmanagern installiert und aktualisiert wurde. Mithilfe despkgutil
Befehlszeilentools (forinstaller
) und dessoftwareupdate
Paketmanagers werden CLI Befehle ausgeführt, um diese Liste zu analysieren.Denn
installer
die Antwort auf die CLI Befehle beinhaltetpackage name
,version
,volume
location
, undinstall-time
Details, aber nur diepackage name
undversion
werden von Patch Manager.Denn
softwareupdate
die Antwort auf die CLI Befehle beinhaltet den Paketnamen (display name
), undversion
date
, aber nur der Paketname und die Version werden von Patch Manager verwendet.Für Brew and Brew Cask unterstützt Homebrew seine Befehle, die unter dem Root-Benutzer ausgeführt werden, nicht. Infolgedessen Patch Manager fragt Homebrew-Befehle ab und führt sie entweder als Eigentümer des Homebrew-Verzeichnisses oder als gültiger Benutzer aus, der zur Besitzergruppe des Homebrew-Verzeichnisses gehört. Die Befehle sind ähnlich wie
softwareupdate
undinstaller
und werden durch einen Python-Subprozess ausgeführt, um Paketdaten zu sammeln. Die Ausgabe wird dann analysiert, um Paketnamen und -versionen zu identifizieren. -
Bewerben GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.
-
Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.
-
Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.
-
Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.
-
Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.
-
Ruft das entsprechende Paket CLI auf dem verwalteten Knoten auf, um genehmigte Patches wie folgt zu verarbeiten:
Anmerkung
installer
fehlt die Funktion, um nach Updates zu suchen und sie zu installieren. Daher gilt fürinstaller
Patch Manager meldet nur, welche Pakete installiert sind. Das Ergebnis:installer
-Pakete werden nie alsMissing
gemeldet.-
Für vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und für benutzerdefinierte Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen nicht ausgewählt wurde, werden nur Sicherheitsupdates angewendet.
-
Bei benutzerdefinierten Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen aktiviert ist, werden sowohl Sicherheits- als auch Funktionsupdates angewendet.
-
-
Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der
RebootOption
ParameterNoReboot
imAWS-RunPatchBaseline
Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)
-
- Oracle Linux
-
Ein Oracle Linux verwaltete Knoten, der Arbeitsablauf für die Patch-Installation sieht wie folgt aus:
-
Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des
InstallOverrideList
Parameters für dieAWS-RunPatchBaselineAssociation
DokumenteAWS-RunPatchBaseline
oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen. -
Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.
-
Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.
Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.
Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.
Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.
-
Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.
-
Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.
-
Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.
-
Auf verwalteten Knoten der Version 7 API wird das YUM Update wie folgt auf genehmigte Patches angewendet:
-
Für vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und für benutzerdefinierte Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen nicht ausgewählt wurde, werden nur Patches, die in
updateinfo.xml
angegeben sind (nur Sicherheitsupdates), angewendet.Der entsprechende Yum-Befehl für diesen Workflow lautet:
sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y
-
Bei benutzerdefinierten Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen aktiviert ist, werden sowohl Patches aus der Datei
updateinfo.xml
als auch solche, die nicht inupdateinfo.xml
enthalten sind, angewendet (sowohl Sicherheits- als auch Funktionsupdates).Der entsprechende Yum-Befehl für diesen Workflow lautet:
sudo yum update --security --bugfix -y
Auf verwalteten Knoten der Versionen 8 und 9 API wird das DNF Update wie folgt auf genehmigte Patches angewendet:
-
Für vordefinierte Standard-Patch-Baselines, die von bereitgestellt werden AWS, und für benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen nicht aktiviert ist,
updateinfo.xml
werden nur die in angegebenen Patches angewendet (nur Sicherheitsupdates).Der entsprechende Yum-Befehl für diesen Workflow lautet:
sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important
-
Bei benutzerdefinierten Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen aktiviert ist, werden sowohl Patches aus der Datei
updateinfo.xml
als auch solche, die nicht inupdateinfo.xml
enthalten sind, angewendet (sowohl Sicherheits- als auch Funktionsupdates).Der entsprechende Yum-Befehl für diesen Workflow lautet:
sudo dnf upgrade --security --bugfix
-
-
-
Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der
RebootOption
ParameterNoReboot
imAWS-RunPatchBaseline
Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)
-
- AlmaLinux, RHEL, and Rocky Linux
-
Auf AlmaLinux, Red Hat Enterprise Linux, und Rocky Linux Bei verwalteten Knoten sieht der Arbeitsablauf für die Patch-Installation wie folgt aus:
-
Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des
InstallOverrideList
Parameters für dieAWS-RunPatchBaselineAssociation
DokumenteAWS-RunPatchBaseline
oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen. -
Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.
-
Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.
Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.
Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.
Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.
-
Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.
-
Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.
-
Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.
-
Das YUM Update API (am RHEL 7) oder das DNF Update API (am AlmaLinux 8. und 9. RHEL 8 und 9 und Rocky Linux 8 und 9) wird wie folgt auf genehmigte Patches angewendet:
-
Für vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und für benutzerdefinierte Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen nicht ausgewählt wurde, werden nur Patches, die in
updateinfo.xml
angegeben sind (nur Sicherheitsupdates), angewendet.Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. RHEL 7, der entsprechende Yum-Befehl für diesen Workflow lautet:
sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y
Für AlmaLinux RHEL 8, und Rocky Linux , die entsprechenden DNF-Befehle für diesen Workflow sind:
sudo dnf update-minimal --sec-severity=Critical --bugfix -y ; \ sudo dnf update-minimal --sec-severity=Important --bugfix -y
-
Bei benutzerdefinierten Patch-Baselines, bei denen das Kästchen Funktionsupdates einschließen aktiviert ist, werden sowohl Patches aus der Datei
updateinfo.xml
als auch solche, die nicht inupdateinfo.xml
enthalten sind, angewendet (sowohl Sicherheits- als auch Funktionsupdates).Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. RHEL 7, der entsprechende Yum-Befehl für diesen Workflow lautet:
sudo yum update --security --bugfix -y
Für AlmaLinux 8 und 9, RHEL 8 und 9 und Rocky Linux 8 und 9, der entsprechende dnf-Befehl für diesen Workflow lautet:
sudo dnf update --security --bugfix -y
-
-
Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der
RebootOption
ParameterNoReboot
imAWS-RunPatchBaseline
Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)
-
- SLES
-
Ein SUSE Linux Enterprise Server (SLES) verwaltete Knoten, der Arbeitsablauf für die Patch-Installation sieht wie folgt aus:
-
Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des
InstallOverrideList
Parameters für dieAWS-RunPatchBaselineAssociation
DokumenteAWS-RunPatchBaseline
oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen. -
Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.
-
Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.
Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.
Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.
Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.
-
Anwenden ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.
-
Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.
-
Wenn mehrere Versionen von Patches genehmigt wurden, wird die neueste Version angewendet.
-
Das Zypper-Update API wird auf genehmigte Patches angewendet.
-
Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der
RebootOption
ParameterNoReboot
imAWS-RunPatchBaseline
Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)
-
- Ubuntu Server
-
Ein Ubuntu Server verwaltete Knoten, der Arbeitsablauf für die Patch-Installation sieht wie folgt aus:
-
Wenn eine Liste von Patches im Pfadstil https URL oder Amazon Simple Storage Service (Amazon S3) URL mithilfe des
InstallOverrideList
Parameters für dieAWS-RunPatchBaselineAssociation
DokumenteAWS-RunPatchBaseline
oder angegeben wird, werden die aufgelisteten Patches installiert und die Schritte 2-7 werden übersprungen. -
Wenn eine Aktualisierung für
python3-apt
(eine Python-Bibliotheks-Schnittstelle zulibapt
) verfügbar ist, wird es auf die neueste Version aktualisiert. (Dieses nicht sicherheitsrelevante Paket wird aktualisiert, auch wenn Sie die Option Mit nicht sicherheitsrelevanten Updates nicht ausgewählt haben.) -
Anwenden GlobalFilterswie in der Patch-Baseline angegeben, wobei nur die qualifizierten Pakete für die weitere Verarbeitung aufbewahrt werden.
-
Anwenden ApprovalRuleswie in der Patch-Baseline angegeben. Jede Genehmigungsregel kann ein Paket als genehmigt definieren.
Anmerkung
Weil es nicht möglich ist, die Veröffentlichungsdaten von Updatepaketen für zuverlässig zu ermitteln Ubuntu Server, die Optionen für die automatische Genehmigung werden für dieses Betriebssystem nicht unterstützt.
Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.
Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein.
Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.
Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.
Anmerkung
Für jede Version von Ubuntu Serversind Patch-Candidate-Versionen wie folgt auf Patches beschränkt, die Teil des zugehörigen Repositorys für diese Version sind:
-
Ubuntu Server 14.04: LTS
trusty-security
-
Ubuntu Server 16,04: LTS
xenial-security
-
Ubuntu Server 18,04: LTS
bionic-security
-
Ubuntu Server 20,04LTS):
focal-security
-
Ubuntu Server 20,10: STR
groovy-security
-
Ubuntu Server 22,04LTS:
jammy-security
-
Ubuntu Server 23,04:
lunar-lobster
-
-
Bewerben ApprovedPatcheswie in der Patch-Baseline angegeben. Die genehmigten Patches werden zur Aktualisierung freigegeben, auch wenn sie von verworfen wurden GlobalFiltersoder wenn keine Genehmigungsregel angegeben ist in ApprovalRuleserteilt ihr die Genehmigung.
-
Bewerben RejectedPatcheswie in der Patch-Baseline angegeben. Die abgelehnten Patches werden aus der Liste der genehmigten Patches entfernt und werden nicht angewendet.
-
Die APT Bibliothek wird zum Aktualisieren von Paketen verwendet.
Anmerkung
Patch Manager unterstützt nicht die Verwendung der APT
Pin-Priority
Option, Paketen Prioritäten zuzuweisen. Patch Manager aggregiert verfügbare Updates aus allen aktivierten Repositorys und wählt das neueste Update aus, das der Baseline für jedes installierte Paket entspricht. -
Der verwaltete Knoten wird neu gestartet, wenn Updates installiert wurden. (Ausnahme: Wenn der
RebootOption
ParameterNoReboot
imAWS-RunPatchBaseline
Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.)
-
- Windows Server
-
Wenn ein Patch-Vorgang an einem ausgeführt wird Windows Server verwalteter Knoten, der Knoten fordert von Systems Manager einen Snapshot der entsprechenden Patch-Baseline an. Dieser Snapshot enthält die Liste aller in der Patch-Baseline verfügbaren Updates, die für die Bereitstellung genehmigt wurden. Diese Liste von Updates wird an das Windows Update gesendetAPI, das bestimmt, welche Updates für den verwalteten Knoten gelten, und sie nach Bedarf installiert. Windows lässt nur die Installation der neuesten verfügbaren Version einer KB zu. Patch Manager installiert die neueste Version einer KB, wenn sie oder eine frühere Version der KB mit der angewendeten Patch-Baseline übereinstimmt. Wenn Updates installiert sind, wird der verwaltete Knoten danach so oft wie nötig neu gestartet, bis alle erforderlichen Patches abgeschlossen sind. (Ausnahme: Wenn der
RebootOption
ParameterNoReboot
imAWS-RunPatchBaseline
Dokument auf gesetzt ist, wird der verwaltete Knoten danach nicht neu gestartet Patch Manager läuft. Weitere Informationen finden Sie unter Parametername: RebootOption.) Die Zusammenfassung des Patchvorgangs finden Sie in der Ausgabe von Run Command Anfrage. Zusätzliche Protokolle finden Sie auf dem verwalteten Knoten im%PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs
-Ordner.Da das Windows Update zum Herunterladen und Installieren verwendet API wirdKBs, werden alle Gruppenrichtlinieneinstellungen für Windows Update berücksichtigt. Für die Verwendung sind keine Gruppenrichtlinieneinstellungen erforderlich Patch Manager, aber alle von Ihnen definierten Einstellungen werden angewendet, z. B. um verwaltete Knoten an einen Windows Server Update Services (WSUS) -Server weiterzuleiten.
Anmerkung
Standardmäßig lädt Windows aus folgenden Gründen alles KBs von der Windows Update-Website von Microsoft herunter Patch Manager verwendet das Windows UpdateAPI, um den Download und die Installation von voranzutreibenKBs. Der verwaltete Knoten muss daher die Website von Microsoft Windows Update erreichen können. Andernfalls tritt ein Fehler bei der Patch-Operation auf. Alternativ können Sie einen WSUS Server so konfigurieren, dass er als KB-Repository dient, und Ihre verwalteten Knoten mithilfe von Gruppenrichtlinien so konfigurieren, dass sie auf diesen WSUS Server abzielen.