Création d'une ligne de base de correctifs personnalisée pour Linux - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une ligne de base de correctifs personnalisée pour Linux

Utilisez la procédure suivante pour créer une ligne de base de correctifs personnalisée pour les nœuds gérés par Linux dans Patch Manager, une capacité de AWS Systems Manager.

Pour plus d'informations sur la création d'une ligne de base de correctifs pour macOS nœuds gérés, voirCréation d'une ligne de base de correctifs personnalisée pour macOS. Pour plus d'informations sur la création d'un référentiel de correctifs pour les nœuds gérés Windows, consultez Création d'une ligne de base de correctifs personnalisée pour Windows Server.

Pour créer un référentiel de correctifs personnalisé pour les nœuds gérés Linux

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le volet de navigation, choisissez Patch Manager.

  3. Choisissez l'onglet Référentiels de correctifs, puis choisissez Créer un référentiel de correctifs.

    -ou-

    Si vous accédez Patch Manager pour la première fois dans le présent Région AWS, choisissez Commencer par une vue d'ensemble, choisissez l'onglet Lignes de base de correctifs, puis choisissez Créer une ligne de base de correctifs.

  4. Pour Nom, entrez un nom pour votre nouvelle référentiel de correctifs, par exemple : MyRHELPatchBaseline.

  5. (Facultatif) Pour Description, saisissez une description pour cette référence de correctif.

  6. Pour Operating system (Système d'exploitation), sélectionnez un système d'exploitation, par exemple, Red Hat Enterprise Linux.

  7. Si vous souhaitez commencer à utiliser cette ligne de base de correctifs par défaut pour le système d'exploitation sélectionné dès sa création, cochez la case à côté de Définir cette ligne de base de correctifs comme ligne de base de correctifs par défaut pour operating system name instances.

    Note

    Cette option n'est disponible que si vous avez accédé pour la première fois Patch Manager avant la publication des politiques relatives aux correctifs le 22 décembre 2022.

    Pour de plus amples informations, sur la définition d'un référentiel de correctifs existante en tant que référence par défaut, veuillez consulter Définition d'un référentiel de correctifs existante en tant que valeur par défaut.

  8. Dans la section Règles d'approbation pour les systèmes d'exploitation), utilisez les champs pour créer une ou plusieurs règles d'approbation automatique.

    • Produits : version des systèmes d'exploitation à laquelle s'applique la règle d'approbation, par exemple RedhatEnterpriseLinux7.4. La sélection par défaut est All.

    • Classification : type de correctifs auquel s'applique la règle d'approbation, par exemple Security ou Enhancement. La sélection par défaut est All.

      Astuce

      Vous pouvez configurer une ligne de base de correctifs pour contrôler si des mises à niveau de versions mineures pour Linux sont installées, telles que RHEL 7.8. Les mises à niveau des versions mineures peuvent être installées automatiquement par Patch Manager à condition que la mise à jour soit disponible dans le référentiel approprié.

      Pour les systèmes d'exploitation Linux, les mises à niveau de versions mineures ne sont pas classées de manière cohérente. Elles peuvent être classées comme correctifs de bogues ou mises à jour de sécurité, ou non classés, même dans la même version du noyau. Voici quelques options pour vérifier si un référentiel de correctifs les installe.

      • Option 1 : La règle d'approbation la plus large pour s'assurer que des mises à niveau mineures sont installées lorsqu'elles sont disponibles consiste à définir la valeur de Classification sur All (*) et à choisir l'option Inclusion de mises à jour non liées à la sécurité.

      • Option 2 : Pour vous assurer que les correctifs d'une version d'un système d'exploitation sont installés, vous pouvez utiliser un caractère générique (*) pour spécifier son format de noyau dans la section des Exceptions de correctif de la référence. Par exemple, le format du noyau pour RHEL 7.* estkernel-3.10.0-*.el7.x86_64.

        Entrez kernel-3.10.0-*.el7.x86_64 dans la liste des correctifs approuvés de votre base de correctifs pour vous assurer que tous les correctifs, y compris les mises à niveau mineures, sont appliqués à votre RHEL 7.* nœuds gérés. (Si vous connaissez le nom exact du package d'un correctif de version mineur, saisissez-le à la place de cette valeur.)

      • Option 3 : vous pouvez avoir le plus de contrôle sur les correctifs appliqués à vos nœuds gérés, y compris les mises à niveau de versions mineures, en utilisant le InstallOverrideListparamètre indiqué dans le AWS-RunPatchBaseline document. Pour de plus amples informations, veuillez consulter SSMDocument de commande pour l'application de correctifs : AWS-RunPatchBaseline.

    • Severity (Sévérité) : valeur de sévérité des correctifs à laquelle la règle va s'appliquer, par exemple Critical. La sélection par défaut est All.

    • Approbation automatique : méthode de sélection des patchs pour approbation automatique.

      Note

      Parce qu'il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Ubuntu Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.

      • Approuver les correctifs après un certain nombre de jours : le nombre de jours pour Patch Manager pour attendre la publication ou la dernière mise à jour d'un correctif avant qu'un correctif ne soit automatiquement approuvé. Vous pouvez entrer tout nombre entier situé entre zéro (0) et 360. Nous vous recommandons, en règle générale, de ne pas attendre plus de 100 jours.

      • Approuver les correctifs publiés jusqu'à une date précise : date de publication du correctif pour laquelle Patch Manager applique automatiquement tous les correctifs publiés ou mis à jour à cette date ou avant cette date. Par exemple, si vous spécifiez le 7 juillet 2023, aucun correctif publié ou mis à jour le 8 juillet 2023 ou après ne sera installé automatiquement.

    • (Facultatif) Rapport de conformité : niveau de sévérité que vous voulez affecter aux correctifs approuvés par la référence, tel que Critical ou High.

      Note

      Si vous spécifiez un niveau de rapport de conformité et que l'état des correctifs d'un correctif approuvé est indiqué Missing, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.

    • Include non-security updates (Inclure les mises à jour non liées à la sécurité) : cochez cette case pour installer les correctifs non liés à la sécurité pour le système d'exploitation Linux disponibles dans le référentiel source, en plus des correctifs de sécurité.

      Note

      Dans SUSE Linux Enterprise Server, (SLES), il n'est pas nécessaire de cocher cette case car les correctifs pour les problèmes de sécurité et non liés à la sécurité sont installés par défaut sur SLES nœuds gérés. Pour plus d'informations, consultez le contenu de SLES dans Sélection des correctifs de sécurité.

    Pour en savoir plus sur l'utilisation des règles d'approbation dans un référentiel de correctifs personnalisée, consultez Lignes de base personnalisées.

  9. Si vous souhaitez explicitement approuver des correctifs en plus de ceux conformes à vos règles d'approbation, procédez comme suit dans la section Patch exceptions (Exceptions de correctifs) :

    • Pour Approved patches (Correctifs approuvés), entrez une liste séparée par des virgules des correctifs à approuver.

      Note

      Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter Formats de nom de package pour les listes de correctifs approuvés et rejetés.

    • (Facultatif) Pour Approved patches compliance level (Niveau de conformité des correctifs approuvés), affectez un niveau de conformité aux correctifs figurant dans la liste.

    • Si des correctifs approuvés que vous spécifiez ne sont pas liés à la sécurité, cochez la case Inclusion de mises à jour non liées à la sécurité pour que ces correctifs soient également installés sur votre système d’exploitation Linux.

  10. Si vous souhaitez rejeter explicitement des correctifs conformes par ailleurs à vos règles d'approbation, procédez comme suit dans la section Patch exceptions (Exceptions de correctifs) :

    • Pour Rejected patches (Correctifs rejetés), entrez une liste séparée par des virgules des correctifs à rejeter.

      Note

      Pour obtenir des informations sur les formats acceptés pour les listes de correctifs approuvés et de correctifs rejetés, veuillez consulter Formats de nom de package pour les listes de correctifs approuvés et rejetés.

    • Pour l'action Correctifs rejetés, sélectionnez l'action pour Patch Manager pour prendre en charge les correctifs inclus dans la liste des correctifs rejetés.

      • Allow as dependency (Autoriser en tant que dépendance) : un package de la liste Rejected patches (Correctifs rejetés) est installé uniquement s'il constitue une dépendance d'un autre package. Il est considéré comme conforme à la ligne de base du correctif et son état est indiqué sous la forme InstalledOther. Il s'agit de l'action par défaut si aucune option n'est spécifiée.

      • Bloquer : les packages figurant dans la liste des correctifs rejetés et les packages qui les incluent en tant que dépendances ne sont pas installés par Patch Manager quelles que soient les circonstances. Si un package a été installé avant d'être ajouté à la liste des correctifs rejetés, ou s'il est installé en dehors de Patch Manager par la suite, il est considéré comme non conforme à la ligne de base du correctif et son état est signalé comme. InstalledRejected

    Note

    Patch Manager recherche les dépendances des correctifs de manière récursive.

  11. (Facultatif) Si vous souhaitez spécifier des référentiels de correctifs alternatifs pour différentes versions d'un système d'exploitation, telles que AmazonLinux2016.03 et AmazonLinux2017.09, procédez comme suit pour chaque produit dans la section Sources des correctifs :

    • Dans Name (Nom), entrez un nom qui vous aidera à identifier la configuration de la source.

    • Dans Product (Produit), sélectionnez la version des systèmes d'exploitation à laquelle est destiné le référentiel source de correctifs, comme RedhatEnterpriseLinux7.4.

    • Dans Configuration, saisissez la valeur de la configuration du référentiel yum à utiliser dans le format suivant :

      [main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
      Astuce

      Pour plus d'informations sur les autres options disponibles pour la configuration de votre référentiel yum, reportez-vous à la section dnf.conf(5).

      Sélectionnez Add another source (Ajouter une autre source) pour spécifier un référentiel source pour chaque version supplémentaire du système d'exploitation, jusqu'à un maximum de 20.

      Pour en savoir plus sur les autres référentiels source de correctifs, consultez Spécification d'un autre référentiel source de correctifs (Linux).

  12. (Facultatif) Pour Gérer les balises, appliquez une ou plusieurs paires nom/valeur de clé de balise au référentiel de correctifs.

    Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement. Par exemple, vous pouvez baliser un référentiel de correctifs pour identifier le niveau de sévérité de correctifs qu'elle spécifie, la famille de systèmes d'exploitation à laquelle elle s'applique et le type d'environnement. Dans ce cas, vous pouvez spécifier des balises similaires aux paires nom/valeur de clé suivantes :

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. Sélectionnez Créer un référentiel de correctif.