Gestion des mises à jour de sécurité Linux

Important

Le AWS OpsWorks Stacks service a atteint sa fin de vie le 26 mai 2024 et a été désactivé tant pour les nouveaux clients que pour les clients existants. Nous recommandons vivement aux clients de migrer leurs charges de travail vers d'autres solutions dès que possible. Si vous avez des questions sur la migration, contactez l' AWS Support équipe sur AWS Re:Post ou via le AWS Support Premium.

Mises à jour de sécurité

Les fournisseurs de systèmes d'exploitation Linux fournissent des mises à jour régulières, dont la plupart sont des correctifs de sécurité du système d'exploitation, mais elles peuvent aussi inclure les mises à jour des packages installés. Vous devez vous assurer que les systèmes d'exploitation de vos instances sont à jour avec les derniers correctifs de sécurité.

Par défaut, AWS OpsWorks Stacks installe automatiquement les dernières mises à jour lors de l'installation, une fois le démarrage d'une instance terminé. AWS OpsWorks Stacks n'installe pas automatiquement les mises à jour une fois qu'une instance est en ligne, afin d'éviter des interruptions telles que le redémarrage des serveurs d'applications. Au lieu de cela, comme vous gérez les mises à jour de vos instances en ligne vous-même, vous pouvez réduire les perturbations.

Nous vous recommandons d'utiliser l'une des actions suivantes pour mettre à jour vos instances en ligne.

Créez et démarrez de nouvelles instances pour remplacer vos instances en ligne actuelles. Puis, supprimez les instances en cours.

Les nouvelles instances bénéficient de l'ensemble des correctifs de sécurité les plus récents pendant l'installation.
Sur les instances Linux des piles Chef 11.10 ou plus anciennes, exécutez la commande de pile Mettre à jour les dépendances, qui installe le jeu actuel de correctifs de sécurité et autres mises à jour sur les instances spécifiées.

Pour ces deux approches, AWS OpsWorks Stacks effectue la mise à jour en l'exécutant yum update pour Amazon Linux et Red Hat Enterprise Linux (RHEL) ou apt-get update pour Ubuntu. Comme chaque distribution gère les mises à jour un peu différemment, vous devez examiner les informations contenues dans les liens associés pour comprendre exactement comment une mise à jour affecte vos instances :

Amazon Linux — Les mises à jour d'Amazon Linux installent des correctifs de sécurité et peuvent également installer des mises à jour de fonctionnalités, notamment des mises à jour de packages.

Pour plus d'informations, consultez FAQ sur l'AMI Amazon Linux.
Ubuntu — Les mises à jour d'Ubuntu se limitent en grande partie à l'installation de correctifs de sécurité, mais peuvent également installer des mises à jour de packages pour un nombre limité de correctifs critiques.

Pour plus d'informations, consultez LTS - Ubuntu Wiki.
CentOS — Les mises à jour de CentOS conservent généralement la compatibilité binaire avec les versions antérieures.
RHEL — Les mises à jour de RHEL maintiennent généralement la compatibilité binaire avec les versions antérieures.

Pour plus d'informations, consultez Cycle de vie Red Hat Enterprise Linux.

Si vous souhaitez mieux contrôler les mises à jour, par exemple en spécifiant des versions de package spécifiques, vous pouvez désactiver les mises à jour automatiques en utilisant les UpdateLayeractions CreateInstance, UpdateInstance, ou CreateLayer, ou les méthodes du SDK AWS ou les commandes de la CLI AWS équivalentes, pour définir le paramètre sur. InstallUpdatesOnBoot false L'exemple suivant montre comment utiliser l'interface de ligne de commande AWS pour désactiver InstallUpdatesOnBoot comme paramètre par défaut d'une couche existante.


aws opsworks update-layer --layer-id layer ID --no-install-updates-on-boot

Vous devez ensuite gérer vous-même les mises à jour. Par exemple, vous pourriez faire appel à l'une de ces stratégies :

Mettre en œuvre une recette personnalisée qui exécute la commande shell appropriée pour installer vos mises à jour préférées.

Comme les mises à jour système ne correspondent pas naturellement à un événement du cycle de vie, incluez la recette dans vos livres de recettes personnalisés, mais exécutez-la manuellement. Pour les mises à jour de package, vous pouvez aussi utiliser les ressources yum_package (Amazon Linux) ou apt_package (Ubuntu) au lieu d'une commande shell.
Connectez-vous à chaque instance avec SSH et exécutez les commandes appropriées manuellement.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Enregistrement de la clé SSH publique d'un utilisateur

Utilisation des groupes de sécurité