Différences d’opérations de correctifs entre Linux et Windows Server.
Cette rubrique décrit les différences importantes entre l’application de correctifs Linux et Windows Server dans Patch Manager, une des fonctionnalités de AWS Systems Manager.
Note
Pour appliquer des correctifs à des nœuds gérés Linux, ces derniers doivent exécuter SSM Agent version 2.0.834.0 ou ultérieure.
Une nouvelle version de SSM Agent est lancée chaque fois que de nouvelles fonctionnalités sont ajoutées à Systems Manager ou que des mises à jour sont apportées aux fonctionnalités existantes. Le fait de ne pas utiliser la dernière version de l'agent peut empêcher votre nœud géré d'utiliser diverses capacités et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d'informations, consultez Automatisation des mises à jour de l'SSM Agent. Inscrivez‑vous sur la page SSM Agent Release Notes
Différence 1 : Évaluation des correctifs
Patch Manager utilise des processus différents sur les nœuds gérés Windows et Linux pour déterminer quels correctifs doivent être présents.
Linux
Pour l'application de correctifs Linux, Systems Manager vérifie les règles du référentiel de correctifs ainsi que la liste des correctifs approuvés et rejetés sur chaque nœud géré. Systems Manager doit vérifier l'application des correctifs sur chaque nœud, car le service récupère la liste des correctifs et mises à jour connus à partir des référentiels configurés sur le nœud géré.
Windows
Pour l'application de correctifs Windows, Systems Manager évalue les règles de référentiels de correctifs et la liste des correctifs approuvés et rejetés directement dans le service. Cette action est possible en raison du fait que les correctifs Windows sont tirés d'un même référentiel (Windows Update).
Différence 2 : Correctifs Not Applicable
En raison du grand nombre de packages disponibles pour les systèmes d'exploitation Linux, Systems Manager ne signale aucun détail concernant les correctifs à l'état Ne s'applique pas. Par exemple, un correctif Not Applicable est un correctif pour le logiciel Apache lorsqu'Apache n'est pas installé sur l'instance. Systems Manager indique le nombre de correctifs Not Applicable dans le résumé, mais si vous appelez l'API DescribeInstancePatches d'un nœud géré, les correctifs dont l'état est Not Applicable n'apparaissent pas dans les données renvoyées. Depuis Windows, ce comportement est différent.
Différence 3 : Prise en charge des documents SSM
Le document Systems Manager AWS-ApplyPatchBaseline (document SSM) ne prend pas en charge les nœuds gérés Linux. Pour appliquer des référentiels de correctifs à des nœuds gérés Linux, macOS et Windows Server, le document SSM recommandé est AWS-RunPatchBaseline. Pour plus d’informations, consultez Documents de commande SSM pour l’application de correctifs sur les nœuds gérés et Document de commande SSM pour l’application de correctifs : AWS-RunPatchBaseline.
Différence 4 : Correctifs d'applications
Le premier objectif de Patch Manager est d'appliquer des correctifs aux systèmes d'exploitation. Cependant, vous pouvez également utiliser Patch Manager pour appliquer des correctifs à certaines applications sur vos nœuds gérés.
Linux
Sur les systèmes d'exploitation Linux, Patch Manager utilise les référentiels configurés pour les mises à jour et ne fait pas la différence entre les correctifs de systèmes d'exploitation et les correctifs d'applications. Vous pouvez utiliser Patch Manager pour définir les référentiels à partir desquels extraire les mises à jour. Pour en savoir plus, consultez Spécification d'un autre référentiel source de correctifs (Linux).
Windows
Sur les nœuds gérés Windows Server, vous pouvez appliquer des règles d'approbation, ainsi que les exceptions de correctif Approved (Approuvé) et Rejected (Rejeté) pour les applications publiées par Microsoft, telles que Microsoft Word 2016 et Microsoft Exchange Server 2016. Pour en savoir plus, consultez Utilisation des référentiels de correctifs personnalisés.
Différence 5 : Options de la liste des correctifs rejetés dans les référentiels de correctifs personnalisés
Lorsque vous créez un référentiel de correctifs personnalisé, vous pouvez spécifier un ou plusieurs correctifs pour une liste Correctifs rejetés. Pour les nœuds gérés par Linux, vous pouvez également choisir d’autoriser leur installation s’il s’agit de dépendances pour un autre correctif autorisé par le référentiel.
Cependant, Windows Server ne prend pas en charge le concept de dépendances de correctifs. Vous pouvez ajouter un correctif à la liste Correctifs rejetés dans un référentiel personnalisé pour Windows Server, mais le résultat dépend (1) du fait que le correctif rejeté est déjà installé ou non sur un nœud géré, et (2) de l’option que vous choisissez pour Action des correctifs rejetés.
Reportez-vous au tableau suivant pour plus de détails sur les options de correctifs rejetés sur Windows Server.
| État de l’installation | Option : « Autoriser en tant que dépendance » | Option : « Bloquer » |
|---|---|---|
| Le correctif est déjà installé | Statut signalé : INSTALLED_OTHER |
Statut signalé : INSTALLED_REJECTED |
| Le correctif n’est pas encore installé | Correctif ignoré | Correctif ignoré |
Chaque correctif pour Windows Server publié par Microsoft contient généralement toutes les informations nécessaires à la réussite de l’installation. Cependant, il peut arriver qu’un package prérequis soit nécessaire et que vous deviez l’installer manuellement. Patch Manager ne fournit pas d’informations sur ces prérequis. Pour plus d’informations, consultez Dépannage des problèmes de Windows Update
