Funktionsweise von Patch-Baseline-Regeln auf Linux-basierten Systemen - AWS Systems Manager
So funktionieren Patch-Basisregeln auf Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 und Amazon Linux 2023Wie Patch-Baseline-Regeln auf CentOS und CentOS Stream funktionierenFunktionsweise von Patch-Baseline-Regeln auf Debian Server und Raspberry Pi OSFunktionsweise von Patch-Baseline-Regeln auf macOSFunktionsweise von Patch-Baseline-Regeln auf Oracle LinuxSo funktionieren Patch-Basisregeln für, und AlmaLinux RHELRocky LinuxFunktionsweise von Patch-Baseline-Regeln auf SUSE Linux Enterprise ServerFunktionsweise von Patch-Baseline-Regeln auf Ubuntu Server

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionsweise von Patch-Baseline-Regeln auf Linux-basierten Systemen

Die Regeln in einer Patch-Baseline für Linux-Verteilungen funktionieren je nach Verteilungstyp unterschiedlich. Im Gegensatz zu Patch-Updates auf Windows Server verwalteten Knoten werden Regeln auf jedem Knoten ausgewertet, um die konfigurierten Repos auf der Instanz zu berücksichtigen. Patch Manager, eine Funktion von AWS Systems Manager, verwendet den systemeigenen Paketmanager, um die Installation von Patches voranzutreiben, die von der Patch-Baseline genehmigt wurden.

Patch ManagerVerwendet bei Linux-basierten Betriebssystemen, die einen Schweregrad für Patches angeben, den Schweregrad, den der Softwarehersteller für die Update-Benachrichtigung oder den einzelnen Patch angegeben hat. Patch Managerleitet Schweregrade nicht aus Quellen von Drittanbietern ab, z. B. aus dem Common Vulnerability Scoring System (CVSS), oder aus Kennzahlen, die von der National Vulnerability Database (NVD) veröffentlicht wurden.

So funktionieren Patch-Basisregeln auf Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 und Amazon Linux 2023

Auf Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 und Amazon Linux 2023 läuft der Prozess der Patch-Auswahl wie folgt ab:

  1. Auf dem verwalteten Knoten greift die YUM Bibliothek (Amazon Linux 1 und Amazon Linux 2) oder die DNF Bibliothek (Amazon Linux 2022 und Amazon Linux 2023) für jedes konfigurierte Repository auf die updateinfo.xml Datei zu.

    Anmerkung

    Wenn keine updateinfo.xml-Datei gefunden wird, hängt es von den Einstellungen für Funktionsupdates einschließen und Automatische Genehmigung ab, ob Patches installiert werden. Wenn beispielsweise nicht sicherheitsrelevante Updates zulässig sind, werden sie installiert, wenn die automatische Genehmigung eintrifft.

  2. Jeder Update-Hinweis in updateinfo.xml enthält mehrere Attribute, die die Eigenschaften der Pakete im Hinweis kennzeichnen, wie in der folgenden Tabelle beschrieben.

    Update-Hinweis-Attribute
    Attribut Beschreibung
    Typ

    Entspricht dem Wert des Klassifizierungsschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline. Kennzeichnet den Typ des im Update-Hinweis enthaltenen Pakets.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API Operation anzeigen. DescribePatchProperties Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.
    severity

    Entspricht dem Wert des Schweregradschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline. Kennzeichnet den Schweregrad der im Update-Hinweis enthaltenen Pakete. Gilt in der Regel nur für Update-Hinweise im Hinblick auf die Sicherheit.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.
    update_id

    Bezeichnet die Beratungs-ID, z. B. ALAS-2017-867. Die Advisory ID kann in der Patch-Baseline im ApprovedPatches oder RejectedPatches-Attribut verwendet werden.
    Referenzen

    Enthält zusätzliche Informationen zum Aktualisierungshinweis, z. B. eine CVE ID (Format: -2017-1234567). CVE Die CVE ID kann im RejectedPatchesAttribut ApprovedPatchesoder in der Patch-Baseline verwendet werden.
    Aktualisiert

    Entspricht ApproveAfterDays in der Patch-Baseline. Kennzeichnet das Veröffentlichungsdatum (Aktualisierungsdatum) der im Update-Hinweis enthaltenen Pakete. Ein Vergleich zwischen dem aktuellen Zeitstempel und dem Wert dieses Attributs plus ApproveAfterDays wird verwendet, um zu bestimmen, ob der Patch für die Bereitstellung genehmigt wurde.

    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamenformate für genehmigte und abgelehnte Patch-Listen.

  3. Das Produkt des verwalteten Knotens wird durch SSM Agent bestimmt. Dieses Attribut entspricht dem Wert des Produktschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline.

  4. Pakete für das Update werden gemäß den folgenden Richtlinien ausgewählt.

    Sicherheitsoption Patch-Auswahl

    Vordefinierte Standard-Patch-Baselines, die von bereitgestellt werden, AWS und benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen nicht aktiviert ist

    Für jeden Update-Hinweis in updateinfo.xml wird die Patch-Baseline als Filter verwendet, der nur den qualifizierten Paketen die Aufnahme in das Update erlaubt. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

    Für Amazon Linux 1 und Amazon Linux 2 lautet der entsprechende yum-Befehl für diesen Workflow:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Für Amazon Linux 2022 und Amazon Linux 2023 lautet der entsprechende dnf-Befehl für diesen Workflow:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen aktiviert ist, mit einer SEVERITY Liste von und einer Liste von [Critical, Important] CLASSIFICATION [Security, Bugfix]

    Neben den aus updateinfo.xml ausgewählten Sicherheits-Updates wendet Patch Manager auch nicht sicherheitsrelevante Updates an, die ansonsten den Patch-Filterregeln entsprechen.

    Für Amazon Linux und Amazon Linux 2 lautet der entsprechende YUM-Befehl für diesen Workflow:

    sudo yum update-minimal --security --sec-severity=Critical,Important --bugfix -y

    Für Amazon Linux 2022 und Amazon Linux 2023 lautet der entsprechende dnf-Befehl für diesen Workflow:

    sudo dnf upgrade-minimal --security --sec-severity=Critical --sec-severity=Important --bugfix -y

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Werte für den Patch-Konformitätsstatus.

Wie Patch-Baseline-Regeln auf CentOS und CentOS Stream funktionieren

Die CentOS- und CentOS Stream Standard-Repositorys enthalten keine Datei. updateinfo.xml Benutzerdefinierte Repositorys, die Sie erstellen oder verwenden, können diese Datei jedoch enthalten. In diesem Thema beziehen sich Verweise nur updateinfo.xml auf diese benutzerdefinierten Repositorys.

In CentOS und CentOS Stream erfolgt die Patch-Auswahl wie folgt:

  1. Auf dem verwalteten Knoten greift die YUM Bibliothek (auf CentOS 6.x- und 7.x-Versionen) oder die DNF Bibliothek (auf CentOS 8.x und CentOS Stream) für jedes konfigurierte Repository auf die updateinfo.xml Datei zu, sofern sie in einem benutzerdefinierten Repository vorhanden ist.

    Wenn keine Patches updateinfo.xml gefunden werden, was immer die Standard-Repos einschließt, hängt es von den Einstellungen für Nicht sicherheitsrelevante Updates einbeziehen und Automatische Genehmigung ab, ob Patches installiert sind. Wenn beispielsweise nicht sicherheitsrelevante Updates zulässig sind, werden sie installiert, wenn die automatische Genehmigung eintrifft.

  2. Falls updateinfo.xml vorhanden, enthält jeder Aktualisierungshinweis in der Datei mehrere Attribute, die die Eigenschaften der Pakete im Hinweis angeben, wie in der folgenden Tabelle beschrieben.

    Update-Hinweis-Attribute
    Attribut Beschreibung
    Typ

    Entspricht dem Wert des Klassifizierungsschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline. Kennzeichnet den Typ des im Update-Hinweis enthaltenen Pakets.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API Operation DescribePatchProperties anzeigen. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.
    severity

    Entspricht dem Wert des Schweregradschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline. Kennzeichnet den Schweregrad der im Update-Hinweis enthaltenen Pakete. Gilt in der Regel nur für Update-Hinweise im Hinblick auf die Sicherheit.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.
    update_id

    Bezeichnet die Beratungs-ID, z. B. CVE-2019-17055. Die Advisory ID kann in der Patch-Baseline im ApprovedPatches oder RejectedPatches-Attribut verwendet werden.
    Referenzen

    Enthält zusätzliche Informationen zum Update-Hinweis, z. B. eine CVE ID (Format: CVE-2019-17055) oder eine Bugzilla-ID (Format: 1463241). Die CVE ID und die Bugzilla-ID können im Attribut oder in der Patch-Baseline verwendet werden. ApprovedPatchesRejectedPatches
    Aktualisiert

    Entspricht ApproveAfterDays in der Patch-Baseline. Kennzeichnet das Veröffentlichungsdatum (Aktualisierungsdatum) der im Update-Hinweis enthaltenen Pakete. Ein Vergleich zwischen dem aktuellen Zeitstempel und dem Wert dieses Attributs plus ApproveAfterDays wird verwendet, um zu bestimmen, ob der Patch für die Bereitstellung genehmigt wurde.
    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamenformate für genehmigte und abgelehnte Patch-Listen.

  3. In allen Fällen wird das Produkt des verwalteten Knotens durch bestimmt. SSM Agent Dieses Attribut entspricht dem Wert des Produktschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline.

  4. Pakete für das Update werden gemäß den folgenden Richtlinien ausgewählt.

    Sicherheitsoption Patch-Auswahl

    Vordefinierte Standard-Patch-Baselines, die von bereitgestellt werden, AWS und benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen nicht aktiviert ist

    Für jeden Update-Hinweis in updateinfo.xml einem benutzerdefinierten Repository wird die Patch-Baseline als Filter verwendet, sodass nur die qualifizierten Pakete in das Update aufgenommen werden können. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

    Für CentOS 6 und 7, wo vorhanden updateinfo.xml ist, lautet der entsprechende Yum-Befehl für diesen Workflow:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Für CentOS 8 und CentOS Stream wo vorhanden updateinfo.xml ist, lautet der entsprechende dnf-Befehl für diesen Workflow:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen aktiviert ist und eine SEVERITY Liste von [Critical, Important] CLASSIFICATION [Security, Bugfix]

    Zusätzlich zum Anwenden der Sicherheitsupdates, aus denen ausgewählt wurde, werdenupdateinfo.xml, sofern diese in einem benutzerdefinierten Repository vorhanden sind, Patch Manager auch nicht sicherheitsrelevante Updates angewendet, die ansonsten den Patch-Filterregeln entsprechen.

    Für CentOS 6 und 7, wo vorhanden updateinfo.xml ist, lautet der entsprechende Yum-Befehl für diesen Workflow:

    sudo yum update --sec-severity=Critical,Important --bugfix -y

    Für CentOS 8 und CentOS Stream wo vorhanden updateinfo.xml ist, lautet der entsprechende dnf-Befehl für diesen Workflow:

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y

    Für Standardrepositorys und benutzerdefinierte Repos ohne updateinfo.xml diese Option müssen Sie das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen aktivieren, um Betriebssystempakete (OS) zu aktualisieren.

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Werte für den Patch-Konformitätsstatus.

Funktionsweise von Patch-Baseline-Regeln auf Debian Server und Raspberry Pi OS

Auf Debian Server und Raspberry Pi OS (früher Rasbian) bietet der Patch-Baseline-Service Filtern in den Feldern Priorität und Abschnitt an. Diese Felder sind normalerweise für alle Debian Server und Raspberry Pi OS-Pakete vorhanden. Um zu bestimmen, ob ein Patch von der Patch-Baseline ausgewählt wird, geht Patch Manager folgendermaßen vor:

  1. Auf Debian Server und Raspberry Pi OS-Systemen wird das Äquivalent von sudo apt-get update ausgeführt, um die Liste der verfügbaren Pakete zu aktualisieren. Repos sind nicht konfiguriert und die Daten werden aus Repos abgerufen, die in einer sources-Liste konfiguriert sind.

  2. Wenn eine Aktualisierung für python3-apt (eine Python-Bibliotheks-Schnittstelle zu libapt) verfügbar ist, wird es auf die neueste Version aktualisiert. (Dieses nicht sicherheitsrelevante Paket wird aktualisiert, auch wenn Sie die Option Mit nicht sicherheitsrelevanten Updates nicht ausgewählt haben.)

    Wichtig

    Nur auf Debian Server 8: Da Debian Server 8.*-Betriebssysteme auf ein veraltetes Paket-Repository (jessie-backports) verweisen, führt Patch Manager die folgenden zusätzlichen Schritte aus, um sicherzustellen, dass Patch-Operationen erfolgreich ausgeführt werden:

    1. Auf Ihrem verwalteten Knoten wird der Verweis auf das Repository jessie-backports aus der Liste der Quellspeicherorte (/etc/apt/sources.list.d/jessie-backports) auskommentiert. Daher wird nicht versucht, Patches von diesem Speicherort herunterzuladen.

    2. Ein Signaturschlüssel für Stretch-Sicherheitsupdates wird importiert. Dieser Schlüssel stellt die erforderlichen Berechtigungen für die Aktualisierungs- und Installationsoperationen auf Debian Server 8.*-Distributionen bereit.

    3. Zu diesem Zeitpunkt wird eine apt-get-Operation ausgeführt, um sicherzustellen, dass die neueste Version von python3-apt installiert ist, bevor der Patch-Prozess beginnt.

    4. Wenn die Installation abgeschlossen ist, wird der Verweis auf das Repository jessie-backports wiederhergestellt und der Signaturschlüssel wird aus dem Schlüsselbund von APT Sources entfernt. Dies erfolgt, damit die Systemkonfiguration so belassen wird, wie sie vor der Patch-Operation war.

  3. Als Nächstes werden die Listen GlobalFilters, ApprovalRules, ApprovedPatches und RejectedPatches angewendet.

    Anmerkung

    Da es nicht möglich ist, die Veröffentlichungstermine von Update-Paketen für Debian Server zuverlässig zu bestimmen, werden die Optionen für die automatische Genehmigung für dieses Betriebssystem nicht unterstützt.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein. Für Debian Server sind Patch-Kandidaten-Versionen in diesem Fall auf Patches beschränkt, die in den folgenden Repos enthalten sind:

    Diese Repos werden wie folgt benannt:

    • Debian Server 8: debian-security jessie

    • Debian Server und Raspberry Pi OS 9: debian-security stretch

    • Debian Server10: debian-security buster

    • Debian Server11: debian-security bullseye

    • Debian Server12: debian-security bookworm

    Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.

    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamenformate für genehmigte und abgelehnte Patch-Listen.

Zum Anzeigen der Inhalte der Felder Priorität und Abschnitt führen Sie den folgenden aptitude-Befehl aus:

Anmerkung

Möglicherweise müssen Sie zuerst Aptitude auf Debian Server-Systemen installieren.

aptitude search -F '%p %P %s %t %V#' '~U'

In der Antwort auf diesen Befehl werden alle Pakete, für die ein Upgrade durchgeführt werden kann, in diesem Format gemeldet: 

name, priority, section, archive, candidate version

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Werte für den Patch-Konformitätsstatus.

Funktionsweise von Patch-Baseline-Regeln auf macOS

In macOS erfolgt die Patch-Auswahl folgendermaßen:

  1. Auf dem verwalteten Knoten greift Patch Manager auf den geparsten Inhalt der InstallHistory.plist-Datei zu und identifiziert Paketnamen und -versionen.

    Details zum Parsing-Prozess finden Sie unter der Registerkarte macOS in Wie Patches installiert werden.

  2. Das Produkt des verwalteten Knotens wird durch SSM Agent bestimmt. Dieses Attribut entspricht dem Wert des Produktschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline.

  3. Pakete für das Update werden gemäß den folgenden Richtlinien ausgewählt.

    Sicherheitsoption Patch-Auswahl

    Vordefinierte Standard-Patch-Baselines, die von bereitgestellt werden, AWS und benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen nicht aktiviert ist

    Für jedes verfügbare Paket-Update wird die Patch-Baseline als Filter verwendet, der nur den qualifizierten Paketen die Aufnahme in das Update erlaubt. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

    Benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen aktiviert ist

    Neben den unter Verwendung von InstallHistory.plist identifizierten Sicherheits-Updates wendet Patchmanager auch nicht sicherheitsrelevante Updates an, die ansonsten den Patch-Filterregeln entsprechen.

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Werte für den Patch-Konformitätsstatus.

Funktionsweise von Patch-Baseline-Regeln auf Oracle Linux

In Oracle Linux erfolgt die Patch-Auswahl folgendermaßen:

  1. Auf dem verwalteten Knoten greift die YUM Bibliothek auf die updateinfo.xml Datei für jedes konfigurierte Repository zu.

    Anmerkung

    Die updateinfo.xml-Datei ist möglicherweise nicht verfügbar, wenn das Repo nicht von Oracle verwaltet wird. Wenn keine updateinfo.xml-Datei gefunden wird, hängt es von den Einstellungen für Funktionsupdates einschließen und Automatische Genehmigung ab, ob Patches installiert werden. Wenn beispielsweise nicht sicherheitsrelevante Updates zulässig sind, werden sie installiert, wenn die automatische Genehmigung eintrifft.

  2. Jeder Update-Hinweis in updateinfo.xml enthält mehrere Attribute, die die Eigenschaften der Pakete im Hinweis kennzeichnen, wie in der folgenden Tabelle beschrieben.

    Update-Hinweis-Attribute
    Attribut Beschreibung
    Typ

    Entspricht dem Wert des Klassifizierungsschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline. Kennzeichnet den Typ des im Update-Hinweis enthaltenen Pakets.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API Operation anzeigen. DescribePatchProperties Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.
    severity

    Entspricht dem Wert des Schweregradschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline. Kennzeichnet den Schweregrad der im Update-Hinweis enthaltenen Pakete. Gilt in der Regel nur für Update-Hinweise im Hinblick auf die Sicherheit.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.
    update_id

    Bezeichnet die Beratungs-ID, z. B. CVE-2019-17055. Die Advisory ID kann in der Patch-Baseline im ApprovedPatches oder RejectedPatches-Attribut verwendet werden.
    Referenzen

    Enthält zusätzliche Informationen zum Update-Hinweis, z. B. eine CVE ID (Format: CVE-2019-17055) oder eine Bugzilla-ID (Format: 1463241). Die CVE ID und die Bugzilla-ID können im Attribut oder in der Patch-Baseline verwendet werden. ApprovedPatchesRejectedPatches
    Aktualisiert

    Entspricht ApproveAfterDays in der Patch-Baseline. Kennzeichnet das Veröffentlichungsdatum (Aktualisierungsdatum) der im Update-Hinweis enthaltenen Pakete. Ein Vergleich zwischen dem aktuellen Zeitstempel und dem Wert dieses Attributs plus ApproveAfterDays wird verwendet, um zu bestimmen, ob der Patch für die Bereitstellung genehmigt wurde.
    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamenformate für genehmigte und abgelehnte Patch-Listen.

  3. Das Produkt des verwalteten Knotens wird durch SSM Agent bestimmt. Dieses Attribut entspricht dem Wert des Produktschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline.

  4. Pakete für das Update werden gemäß den folgenden Richtlinien ausgewählt.

    Sicherheitsoption Patch-Auswahl

    Vordefinierte Standard-Patch-Baselines, die von bereitgestellt werden, AWS und benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen nicht aktiviert ist

    Für jeden Update-Hinweis in updateinfo.xml wird die Patch-Baseline als Filter verwendet, der nur den qualifizierten Paketen die Aufnahme in das Update erlaubt. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

    Für von Version 7 verwaltete Knoten lautet der entsprechende Yum-Befehl für diesen Workflow:

    sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    Für von Version 8 und 9 verwaltete Knoten lautet der entsprechende DNF-Befehl für diesen Workflow:

    sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

    Benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen aktiviert ist, mit einer Liste von und einer Liste von SEVERITY [Critical, Important] CLASSIFICATION [Security, Bugfix]

    Neben den aus updateinfo.xml ausgewählten Sicherheits-Updates wendet Patch Manager auch nicht sicherheitsrelevante Updates an, die ansonsten den Patch-Filterregeln entsprechen.

    Für von Version 7 verwaltete Knoten lautet der entsprechende Yum-Befehl für diesen Workflow:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Für von Version 8 und 9 verwaltete Knoten lautet der entsprechende DNF-Befehl für diesen Workflow: 

    sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Werte für den Patch-Konformitätsstatus.

So funktionieren Patch-Basisregeln für, und AlmaLinux RHELRocky Linux

Bei AlmaLinux, Red Hat Enterprise Linux (RHEL) und Rocky Linux erfolgt die Patch-Auswahl wie folgt:

  1. Auf dem verwalteten Knoten greift die YUM Bibliothek (RHEL7) oder die DNF Bibliothek (AlmaLinux 8 und 9, RHEL 8 und 9 und Rocky Linux 8 und 9) auf die updateinfo.xml Datei für jedes konfigurierte Repository zu.

    Anmerkung

    Die updateinfo.xml-Datei ist möglicherweise nicht verfügbar, wenn das Repo nicht von Red Hat verwaltet wird. Falls keine updateinfo.xml gefunden werden, wird kein Patch angewendet.

  2. Jeder Update-Hinweis in updateinfo.xml enthält mehrere Attribute, die die Eigenschaften der Pakete im Hinweis kennzeichnen, wie in der folgenden Tabelle beschrieben.

    Update-Hinweis-Attribute
    Attribut Beschreibung
    Typ

    Entspricht dem Wert des Klassifizierungsschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline. Kennzeichnet den Typ des im Update-Hinweis enthaltenen Pakets.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API Operation anzeigen. DescribePatchProperties Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.
    severity

    Entspricht dem Wert des Schweregradschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline. Kennzeichnet den Schweregrad der im Update-Hinweis enthaltenen Pakete. Gilt in der Regel nur für Update-Hinweise im Hinblick auf die Sicherheit.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.
    update_id

    Bezeichnet die Advisory-ID, z. B. RHSA- 2017:0864. Die Advisory ID kann in der Patch-Baseline im ApprovedPatches oder RejectedPatches-Attribut verwendet werden.
    Referenzen

    Enthält zusätzliche Informationen zum Update-Hinweis, z. B. eine CVE ID (Format: CVE-2017-1000371) oder eine Bugzilla-ID (Format: 1463241). Die CVE ID und die Bugzilla-ID können im Attribut oder in der Patch-Baseline verwendet werden. ApprovedPatchesRejectedPatches
    Aktualisiert

    Entspricht ApproveAfterDays in der Patch-Baseline. Kennzeichnet das Veröffentlichungsdatum (Aktualisierungsdatum) der im Update-Hinweis enthaltenen Pakete. Ein Vergleich zwischen dem aktuellen Zeitstempel und dem Wert dieses Attributs plus ApproveAfterDays wird verwendet, um zu bestimmen, ob der Patch für die Bereitstellung genehmigt wurde.
    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamenformate für genehmigte und abgelehnte Patch-Listen.

  3. Das Produkt des verwalteten Knotens wird durch SSM Agent bestimmt. Dieses Attribut entspricht dem Wert des Produktschlüsselattributs im PatchFilter-Datentyp der Patch-Baseline.

  4. Pakete für das Update werden gemäß den folgenden Richtlinien ausgewählt.

    Sicherheitsoption Patch-Auswahl

    Vordefinierte Standard-Patch-Baselines, die von AWS bereitgestellt werden, und benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Funktionsupdates einschließen nicht ausgewählt wurde

    Für jeden Update-Hinweis in updateinfo.xml wird die Patch-Baseline als Filter verwendet, der nur den qualifizierten Paketen die Aufnahme in das Update erlaubt. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

    Für RHEL 7 lautet der entsprechende YUM-Befehl für diesen Workflow:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Für AlmaLinux 8 und 9, RHEL 8 und 9 sowie Rocky Linux 8 und 9 lautet der entsprechende dnf-Befehl für diesen Workflow:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Benutzerdefinierte Patch-Baselines, bei denen das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen aktiviert ist, mit einer SEVERITY Liste von und einer Liste von [Critical, Important] CLASSIFICATION [Security, Bugfix]

    Neben den aus updateinfo.xml ausgewählten Sicherheits-Updates wendet Patch Manager auch nicht sicherheitsrelevante Updates an, die ansonsten den Patch-Filterregeln entsprechen.

    Für RHEL 7 lautet der entsprechende YUM-Befehl für diesen Workflow:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Für AlmaLinux 8 und 9, RHEL 8 und 9 sowie Rocky Linux 8 und 9 lautet der entsprechende dnf-Befehl für diesen Workflow:

    sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Werte für den Patch-Konformitätsstatus.

Funktionsweise von Patch-Baseline-Regeln auf SUSE Linux Enterprise Server

Auf SLES enthält jeder Patch die folgenden Attribute, mit denen die Eigenschaften der Pakete im Patch gekennzeichnet werden:

  • Category: Entspricht dem Wert des Klassifizierungs-Schlüsselattributs im PatchFilter-Datentyp der Patch-Baseline. Kennzeichnet den Typ des im Update-Hinweis enthaltenen Patches.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API Operation DescribePatchProperties anzeigen. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

  • Schweregrad: Entspricht dem Wert des Schweregrads-Schlüsselattributs in dem PatchFilter-Datentyp der Patch-Baseline. Kennzeichnet den Schweregrad der Patches.

    Sie können die Liste der unterstützten Werte mithilfe des AWS CLI Befehls describe-patch-properties oder der API Operation anzeigenDescribePatchProperties. Sie können die Liste auch im Bereich Genehmigungsregeln der Seite Erstellen einer Patch-Baseline der Seite Patch-Baseline bearbeiten in der Systems Manager-Konsole anzeigen.

Das Produkt des verwalteten Knotens wird durch SSM Agent bestimmt. Dieses Attribut entspricht dem Wert des Produkt-Schlüsselattributs im PatchFilter-Datentyp der Patch-Baseline.

Für jeden Patch wird die Patch-Baseline als Filter verwendet, der nur den qualifizierten Paketen die Aufnahme in das Update erlaubt. Wenn mehrere Pakete zutreffen, wird die aktuelle Version nach Anwenden der Patch-Baseline-Definition verwendet.

Anmerkung

Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamenformate für genehmigte und abgelehnte Patch-Listen.

Funktionsweise von Patch-Baseline-Regeln auf Ubuntu Server

Auf Ubuntu Server bietet der Patch-Baseline-Service Filtern in den Feldern Priorität und Abschnitt. Diese Felder sind normalerweise für alle Ubuntu Server-Pakete vorhanden. Um zu bestimmen, ob ein Patch von der Patch-Baseline ausgewählt wird, geht Patch Manager folgendermaßen vor:

  1. Auf Ubuntu Server-Systemen wird das Äquivalent von sudo apt-get update ausgeführt, um die Liste der verfügbaren Pakete zu aktualisieren. Repos sind nicht konfiguriert und die Daten werden aus Repos abgerufen, die in einer sources-Liste konfiguriert sind.

  2. Wenn eine Aktualisierung für python3-apt (eine Python-Bibliotheks-Schnittstelle zu libapt) verfügbar ist, wird es auf die neueste Version aktualisiert. (Dieses nicht sicherheitsrelevante Paket wird aktualisiert, auch wenn Sie die Option Mit nicht sicherheitsrelevanten Updates nicht ausgewählt haben.)

  3. Als Nächstes werden die Listen GlobalFilters, ApprovalRules, ApprovedPatches und RejectedPatches angewendet.

    Anmerkung

    Da es nicht möglich ist, die Veröffentlichungsdaten von Updatepaketen für Ubuntu Server zuverlässig zu bestimmen, werden die Optionen für die automatische Genehmigung für dieses Betriebssystem nicht unterstützt.

    Genehmigungsregeln sind jedoch auch davon abhängig, ob das Kästchen Mit nicht sicherheitsrelevanten Updates beim Erstellen oder letzten Aktualisieren einer Patch-Baseline aktiviert wurde.

    Wenn nicht sicherheitsrelevante Updates ausgeschlossen werden, wird eine implizite Regel angewendet, um nur Pakete mit Upgrades in Sicherheits-Repos auszuwählen. Für jedes Paket muss die Kandidatenversion des Pakets (in der Regel die neueste Version) Teil eines Sicherheits-Repos sein. Für Ubuntu Server sind Patch-Kandidaten-Versionen in diesem Fall auf Patches beschränkt, die in den folgenden Repos enthalten sind:

    • Ubuntu Server14.04LTS: trusty-security

    • Ubuntu Server16,04: LTS xenial-security

    • Ubuntu Server18,04: LTS bionic-security

    • Ubuntu Server20,04: LTS focal-security

    • Ubuntu Server20,10: STR groovy-security

    • Ubuntu Server22,04 LTS () jammy-security

    • Ubuntu Server23,04 () lunar-security

    Wenn nicht sicherheitsrelevante Updates enthalten sind, werden auch Patches aus anderen Repositorys berücksichtigt.

    Anmerkung

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamenformate für genehmigte und abgelehnte Patch-Listen.

Zum Anzeigen der Inhalte der Felder Priorität und Abschnitt führen Sie den folgenden aptitude-Befehl aus:

Anmerkung

Möglicherweise müssen Sie zuerst Aptitude auf Ubuntu Server 16-Systemen installieren.

aptitude search -F '%p %P %s %t %V#' '~U'

In der Antwort auf diesen Befehl werden alle Pakete, für die ein Upgrade durchgeführt werden kann, in diesem Format gemeldet: 

name, priority, section, archive, candidate version

Weitere Informationen über Patch-Compliance-Statuswerte finden Sie unter Werte für den Patch-Konformitätsstatus.