Wie Sicherheitspatches ausgewählt werden

Vorkonfigurierte Repositorys werden auf Amazon Linux 1 und Amazon Linux 2 anders behandelt als auf Amazon Linux 2022 und Amazon Linux 2023.

Auf Amazon Linux 1 und Amazon Linux 2 verwendet der Systems Manager Patch Baseline Service vorkonfigurierte Repositorys auf dem verwalteten Knoten. Es gibt in der Regel zwei vorkonfigurierte Repositorys (Repos) auf einem Knoten:

Amazon Linux 2023 (AL2023) -Instances enthalten zunächst die Updates, die in der Version AL2 0.23 verfügbar waren, und den ausgewählten AMI. Standardmäßig erhält Ihre AL2 023-Instance beim Start nicht automatisch zusätzliche kritische und wichtige Sicherheitsupdates. Stattdessen können Sie mit der Funktion deterministische Upgrades durch versionierte Repositorys in AL2 023, die standardmäßig aktiviert ist, Updates nach einem Zeitplan anwenden, der Ihren spezifischen Anforderungen entspricht. Weitere Informationen finden Sie unter Deterministische Upgrades durch versionierte Repositories im Benutzerhandbuch von Amazon Linux 2023.

Unter Amazon Linux 2022 sind die vorkonfigurierten Repositorys an gesperrte Versionen von Paketaktualisierungen gebunden. Wann neu Amazon Machine Images (AMIs) für Amazon Linux 2022 veröffentlicht werden, sie sind an eine bestimmte Version gebunden. Für Patch-Updates Patch Manager ruft die neueste gesperrte Version des Patch-Update-Repositorys ab und aktualisiert dann die Pakete auf dem verwalteten Knoten auf der Grundlage des Inhalts dieser gesperrten Version.

Am AL2 023 sieht das vorkonfigurierte Repository wie folgt aus:

Bei Amazon Linux 2022 (Vorschauversion) sind die vorkonfigurierten Repositories an gesperrte Versionen von Paket-Updates gebunden. Wenn neu Amazon Machine Images (AMIs) für Amazon Linux 2022 veröffentlicht werden, sie sind an eine bestimmte Version gebunden. Für Patch-Updates Patch Manager ruft die neueste gesperrte Version des Patch-Update-Repositorys ab und aktualisiert dann die Pakete auf dem verwalteten Knoten auf der Grundlage des Inhalts dieser gesperrten Version.

Auf Amazon Linux 2022 sieht das vorkonfigurierte Repository wie folgt aus:

Die verwalteten Knoten von Amazon Linux 1 und Amazon Linux 2 verwenden Yum als Paketmanager. Amazon Linux 2022 und Amazon Linux 2023 werden DNF als Paketmanager verwendet.

Beide Paket-Manager verwenden das Konzept einer Aktualisierungsbenachrichtigung in Form einer Datei mit dem Namen updateinfo.xml. Ein Update-Hinweis ist einfach eine Sammlung von Paketen, die bestimmte Probleme beheben. Alle Pakete, die in einem Update-Hinweis enthalten sind, werden von Patch Manager. Einigen Paketen werden keine Klassifizierungen oder Schweregrade zugewiesen. Aus diesem Grund Patch Manager weist den zugehörigen Paketen die Attribute eines Aktualisierungshinweises zu.

Auf CentOS und CentOS Streamverwendet der Systems Manager Patch Baseline Service vorkonfigurierte Repositorys (Repos) auf dem verwalteten Knoten. Die folgende Liste enthält Beispiele für ein fiktives CentOS 8.2 Amazon Machine Image (AMI):

Von CentOS 6 und 7 verwaltete Knoten verwenden Yum als Paketmanager. CentOS 8 und CentOS Stream Knoten werden DNF als Paketmanager verwendet. Beide Paketmanager verwenden das Konzept eines Update-Hinweises als einen aktualisierten Hinweis. Ein Update-Hinweis ist einfach eine Sammlung von Paketen, die bestimmte Probleme beheben.

CentOS und CentOS Stream Standard-Repos sind nicht mit einem Update-Hinweis konfiguriert. Das bedeutet, dass Patch Manager erkennt keine Pakete auf Standard-CentOS und CentOS Stream Repos. Zu erlauben Patch Manager Um Pakete zu verarbeiten, die nicht in einem Update-Hinweis enthalten sind, müssen Sie das EnableNonSecurity Kennzeichen in den Patch-Baseline-Regeln aktivieren.

Ein Debian Server and Raspberry Pi OS (früher Raspbian) verwendet der Systems Manager Patch Baseline Service vorkonfigurierte Repositorys (Repos) auf der Instanz. Diese vorkonfigurierten Repos werden verwendet, um eine aktualisierte Liste der verfügbaren Paket-Upgrades abzurufen. Dazu führt Systems Manager das Äquivalent eines sudo apt-get update-Befehls durch.

Pakete werden dann aus debian-security codename-Repos gefiltert. Das bedeutet, dass auf jeder Version von Debian Server, Patch Manager identifiziert nur Upgrades, die Teil des zugehörigen Repositorys für diese Version sind, wie folgt:

Ein Oracle Linuxverwendet der Systems Manager Patch Baseline Service vorkonfigurierte Repositorys (Repos) auf dem verwalteten Knoten. Es gibt in der Regel zwei vorkonfigurierte Repositorys (Repos) auf einem Knoten.

Oracle Linux 7:

Oracle Linux 8:

Oracle Linux 9:

Oracle Linux verwaltete Knoten verwenden Yum als Paketmanager, und Yum verwendet das Konzept einer Update-Benachrichtigung als Datei mit dem Namen. updateinfo.xml Ein Update-Hinweis ist einfach eine Sammlung von Paketen, die bestimmte Probleme beheben. Einzelnen Paketen werden keine Klassifizierungen oder Schweregrade zugewiesen. Aus diesem Grund Patch Manager weist den zugehörigen Paketen die Attribute eines Aktualisierungshinweises zu und installiert Pakete auf der Grundlage der in der Patch-Baseline angegebenen Klassifizierungsfilter.

Am AlmaLinux Red Hat Enterprise Linux, und Rocky Linux Der Systems Manager Patch Baseline Service verwendet vorkonfigurierte Repositorys (Repos) auf dem verwalteten Knoten. Es gibt in der Regel drei vorkonfigurierte Repositorys (Repos) auf einem Knoten.

Alle Updates werden von den auf dem verwalteten Knoten konfigurierten Remote-Repos heruntergeladen. Daher muss der Knoten über einen ausgehenden Zugang zum Internet verfügen, um eine Verbindung zu den Repos herzustellen, damit das Patching durchgeführt werden kann.

Red Hat Enterprise Linux 7 verwaltete Knoten verwenden Yum als Paketmanager. AlmaLinux, Red Hat Enterprise Linux 8, und Rocky Linux verwaltete Knoten DNF werden als Paketmanager verwendet. Beide Paketmanager verwenden das Konzept eines Update-Hinweises als Datei namens updateinfo.xml. Ein Update-Hinweis ist einfach eine Sammlung von Paketen, die bestimmte Probleme beheben. Einzelnen Paketen werden keine Klassifizierungen oder Schweregrade zugewiesen. Aus diesem Grund Patch Manager weist den zugehörigen Paketen die Attribute eines Aktualisierungshinweises zu und installiert Pakete auf der Grundlage der in der Patch-Baseline angegebenen Klassifizierungsfilter.

Ein SUSE Linux Enterprise Server (SLES) verwaltete Knoten, die ZYPP Bibliothek ruft die Liste der verfügbaren Patches (eine Sammlung von Paketen) von den folgenden Orten ab:

SLES verwaltete Knoten verwenden Zypper als Paketmanager, und Zypper verwendet das Konzept eines Patches. Ein Patch ist einfach eine Sammlung von Paketen, die ein bestimmtes Problem beheben. Patch Manager behandelt alle Pakete, auf die in einem Patch verwiesen wird, als sicherheitsrelevant. Da einzelnen Paketen keine Klassifizierungen oder Schweregrade zugewiesen wurden, Patch Manager weist den Paketen die Attribute des Patches zu, zu dem sie gehören.

Ein Ubuntu Serververwendet der Systems Manager Patch Baseline Service vorkonfigurierte Repositorys (Repos) auf dem verwalteten Knoten. Diese vorkonfigurierten Repos werden verwendet, um eine aktualisierte Liste der verfügbaren Paket-Upgrades abzurufen. Dazu führt Systems Manager das Äquivalent eines sudo apt-get update-Befehls durch.

Pakete werden dann aus codename-security Repos gefiltert, deren Codename für die Release-Version eindeutig ist, z. B. für trusty Ubuntu Server 14. Patch Manager identifiziert nur Upgrades, die Teil dieser Repos sind:

Auf Microsoft Windows-Betriebssystemen Patch Manager ruft eine Liste verfügbarer Updates ab, die Microsoft für Microsoft Update veröffentlicht und die automatisch für Windows Server Update Services verfügbar sind (WSUS).

Patch Manager überwacht in jedem Bereich kontinuierlich auf neue Updates AWS-Region. Die Liste der verfügbaren Updates wird in jeder Region mindestens einmal pro Tag aktualisiert. Wenn die Patch-Informationen von Microsoft verarbeitet werden, Patch Manager entfernt Updates, die durch spätere Updates ersetzt wurden, aus der Patch-Liste. Daher werden nur die neuesten Updates angezeigt und zur Installation zur Verfügung gestellt. Wenn es beispielsweise KB4012214 ersetztKB3135456, KB4012214 wird es nur als Update verfügbar gemacht in Patch Manager.

In ähnlicher Weise Patch Manager kann nur Patches installieren, die während des Patchvorgangs auf dem verwalteten Knoten verfügbar sind. Standardmäßig Windows Server 2019 und Windows Server 2022 entfernen Sie Updates, die durch spätere Updates ersetzt werden. Wenn Sie den ApproveUntilDate Parameter also in einem verwenden Windows Server Patch-Baseline, aber das im ApproveUntilDate Parameter gewählte Datum liegt vor dem Datum des letzten Patches, dann tritt das folgende Szenario ein:

Das bedeutet, dass der verwaltete Knoten die Anforderungen des Systems Manager Manager-Betriebs erfüllt, auch wenn ein kritischer Patch aus dem Vormonat möglicherweise nicht installiert wurde. Das gleiche Szenario kann auftreten, wenn der ApproveAfterDays Parameter verwendet wird. Aufgrund des Patch-Verhaltens, das Microsoft ersetzt hat, ist es möglich, eine Zahl festzulegen (in der Regel mehr als 30 Tage), sodass Patches für Windows Server werden niemals installiert, wenn der neueste verfügbare Patch von Microsoft veröffentlicht wird, bevor die Anzahl der Tage ApproveAfterDays verstrichen ist. Beachten Sie, dass dieses Systemverhalten nicht zutrifft, wenn Sie Ihre Einstellungen für das Windows-Gruppenrichtlinienobjekt (GPO) geändert haben, um den abgelösten Patch auf Ihren verwalteten Knoten verfügbar zu machen.