Membuat baseline patch khusus untuk Linux - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat baseline patch khusus untuk Linux

Gunakan prosedur berikut untuk membuat baseline patch khusus untuk node yang dikelola Linux di Patch Manager, kemampuan AWS Systems Manager.

Untuk informasi tentang membuat baseline patch untuk macOS node terkelola, lihatMembuat baseline patch khusus untuk macOS. Untuk informasi tentang membuat baseline patch untuk node terkelola Windows, lihat. Membuat baseline patch khusus untuk Windows Server

Untuk membuat baseline patch kustom untuk node terkelola Linux

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Patch Manager.

  3. Pilih tab Patch baseline, lalu pilih Create patch baseline.

    -atau-

    Jika Anda mengakses Patch Manager untuk pertama kalinya saat ini Wilayah AWS, pilih Mulai dengan ikhtisar, pilih tab Garis dasar Patch, lalu pilih Buat baseline patch.

  4. Untuk Nama, masukkan nama untuk dasar patch baru Anda, misalnya, MyRHELPatchBaseline.

  5. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk dasar patch ini.

  6. Untuk Sistem operasi, pilih suatu sistem operasi, misalnya, Red Hat Enterprise Linux.

  7. Jika Anda ingin mulai menggunakan baseline patch ini sebagai default untuk sistem operasi yang dipilih segera setelah Anda membuatnya, centang kotak di sebelah Setel baseline patch ini sebagai baseline patch default untuk operating system name contoh.

    catatan

    Opsi ini hanya tersedia jika Anda pertama kali mengakses Patch Manager sebelum kebijakan tambalan dirilis pada 22 Desember 2022.

    Untuk informasi tentang mengatur dasar patch yang ada sebagai default, lihat Mengatur dasar patch yang ada sebagai default.

  8. Di bagian Aturan persetujuan untuk sistem operasi, gunakan bidang tersebut untuk membuat satu atau lebih aturan persetujuan otomatis.

    • Produk: Versi sistem operasi yang berlaku untuk aturan persetujuan, sepertiRedhatEnterpriseLinux7.4. Pilihan default adalah All.

    • Klasifikasi: Jenis patch yang diberlakukan aturan persetujuan, seperti Security atau Enhancement. Pilihan default adalah All.

      Tip

      Anda dapat mengonfigurasi baseline patch untuk mengontrol apakah upgrade versi minor untuk Linux diinstal, seperti RHEL 7.8. Upgrade versi minor dapat diinstal secara otomatis oleh Patch Manager asalkan pembaruan tersedia di repositori yang sesuai.

      Untuk sistem operasi Linux, pemutakhiran versi minor tidak diklasifikasikan secara konsisten. Mereka dapat diklasifikasikan sebagai perbaikan bug atau pembaruan keamanan, atau tidak diklasifikasikan, bahkan dalam versi kernel yang sama. Berikut ini adalah beberapa pilihan untuk mengendalikan apakah dasar patch menginstalnya.

      • Opsi 1: Aturan persetujuan terluas untuk memastikan pemutakhiran versi minor diinstal ketika tersedia adalah dengan menentukan Klasifikasi sebagai All (*) dan pilih opsi Sertakan pembaruan non-keamanan.

      • Opsi 2: Untuk memastikan patch untuk versi sistem operasi diinstal, Anda dapat menggunakan wildcard (*) untuk menentukan format kernel di bagian Pengecualian patch dari baseline. Misalnya, format kernel untuk RHEL 7.* adalahkernel-3.10.0-*.el7.x86_64.

        Masukkan kernel-3.10.0-*.el7.x86_64 dalam daftar Patch yang disetujui di baseline tambalan Anda untuk memastikan semua tambalan, termasuk peningkatan versi minor, diterapkan ke RHEL 7.* node terkelola. (Jika Anda tahu persis nama paket dari patch versi minor, Anda dapat memasukkan itu sebagai gantinya.)

      • Opsi 3: Anda dapat memiliki kontrol paling besar atas tambalan mana yang diterapkan ke node terkelola Anda, termasuk peningkatan versi minor, dengan menggunakan InstallOverrideListparameter dalam dokumen. AWS-RunPatchBaseline Untuk informasi selengkapnya, lihat SSMDokumen perintah untuk menambal: AWS-RunPatchBaseline.

    • Kepelikan: Nilai kepelikan patch yang diberlakukan aturan, seperti Critical. Pilihan default adalah All.

    • Persetujuan otomatis: Metode untuk memilih patch untuk persetujuan otomatis.

      catatan

      Karena tidak mungkin menentukan tanggal rilis paket pembaruan dengan andal Ubuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

      • Menyetujui tambalan setelah jumlah hari tertentu: Jumlah hari untuk Patch Manager untuk menunggu setelah tambalan dirilis atau terakhir diperbarui sebelum tambalan disetujui secara otomatis. Anda dapat memasukkan bilangan bulat apa saja dari nol (0) sampai 360. Untuk sebagian besar skenario, kami merekomendasikan untuk menunggu tidak lebih dari 100 hari.

      • Menyetujui tambalan yang dirilis hingga tanggal tertentu: Tanggal rilis tambalan yang Patch Manager secara otomatis menerapkan semua tambalan yang dirilis atau diperbarui pada atau sebelum tanggal tersebut. Misalnya, jika Anda menentukan 7 Juli 2023, tidak ada tambalan yang dirilis atau terakhir diperbarui pada atau setelah 8 Juli 2023, yang diinstal secara otomatis.

    • (Opsional) Pelaporan kepatuhan: Tingkat keparahan yang ingin Anda tetapkan ke tambalan yang disetujui oleh baseline, seperti atau. Critical High

      catatan

      Jika Anda menentukan tingkat pelaporan kepatuhan dan status patch dari setiap patch yang disetujui dilaporkan sebagaiMissing, maka tingkat keparahan kepatuhan yang dilaporkan secara keseluruhan baseline patch adalah tingkat keparahan yang Anda tentukan.

    • Sertakan pembaruan non-keamanan: Pilih kotak centang untuk menginstal patch sistem operasi Linux non-keamanan yang tersedia di repositori sumber, selain patch terkait keamanan.

      catatan

      Untuk SUSE Linux Enterprise Server, (SLES) tidak perlu memilih kotak centang karena tambalan untuk masalah keamanan dan nonsecurity diinstal secara default SLES node terkelola. Untuk informasi selengkapnya, lihat konten untuk SLES di Cara pemilihan patch keamanan.

    Untuk informasi selengkapnya tentang bekerja dengan aturan persetujuan di dasar patch kustom, lihat Garis dasar kustom.

  9. Jika Anda ingin secara eksplisit menyetujui patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian Pengecualian patch:

    • Untuk Patch yang disetujui, masukkan daftar patch yang dipisahkan koma yang ingin Anda setujui.

      catatan

      Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

    • (Opsional) Untuk Tingkat kepatuhan patch yang disetujui, tetapkan tingkat kepatuhan pada patch dalam daftar.

    • Jika ada patch yang disetujui yang Anda tentukan tidak terkait dengan keamanan, pilih kotak centang Sertakan pembaruan non-keamanan untuk tambalan ini yang akan diinstal pada sistem operasi Linux Anda juga.

  10. Jika Anda ingin secara eksplisit menolak patch lain selain yang memenuhi aturan persetujuan Anda, lakukan hal berikut di bagian Pengecualian patch:

    • Untuk Patch yang ditolak, masukkan daftar patch yang dipisahkan koma yang ingin Anda tolak.

      catatan

      Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

    • Untuk tindakan tambalan Ditolak, pilih tindakan untuk Patch Manager untuk mengambil tambalan yang termasuk dalam daftar tambalan Ditolak.

      • Diizinkan sebagai dependensi: Sebuah paket di daftar Patch yang ditolak diinstal hanya jika merupakan dependensi dari paket lain. Ini dianggap sesuai dengan baseline patch dan statusnya dilaporkan sebagai. InstalledOther Ini adalah tindakan default jika tidak ada pilihan yang ditentukan.

      • Blokir: Paket dalam daftar tambalan Ditolak, dan paket yang menyertakannya sebagai dependensi, tidak diinstal oleh Patch Manager dalam keadaan apa pun. Jika paket diinstal sebelum ditambahkan ke daftar tambalan Ditolak, atau diinstal di luar Patch Manager setelah itu, itu dianggap tidak sesuai dengan baseline patch dan statusnya dilaporkan sebagai. InstalledRejected

    catatan

    Patch Manager mencari dependensi tambalan secara rekursif.

  11. (Opsional) Jika Anda ingin menentukan repositori patch alternatif untuk versi sistem operasi yang berbeda, seperti AmazonLinux2016.03 dan AmazonLinux2017.09, lakukan hal berikut untuk setiap produk di bagian Sumber Patch:

    • Di Nama, masukkan nama untuk membantu Anda mengidentifikasi konfigurasi sumber.

    • Di Produk, pilih versi sistem operasi yang digunakan untuk repositori sumber patch, seperti RedhatEnterpriseLinux7.4.

    • Di Konfigurasi, masukkan nilai konfigurasi repositori yum yang akan digunakan dalam format berikut:

      [main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
      Tip

      Untuk informasi tentang opsi lain yang tersedia untuk konfigurasi repositori yum Anda, lihat dnf.conf(5).

      Pilih Tambah sumber lain untuk menentukan repositori sumber untuk setiap versi sistem operasi tambahan, hingga maksimum 20.

      Untuk informasi selengkapnya tentang repositori patch sumber alternatif, lihat Cara menentukan repositori sumber patch alternatif (Linux).

  12. (Opsional) Untuk Kelola tag, terapkan satu atau lebih pasangan nama/nilai kunci tag ke dasar patch.

    Tag adalah metadata opsional yang Anda tetapkan ke sumber daya. Tag memungkinkan Anda untuk mengkategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Sebagai contoh, Anda mungkin ingin menandai dasar patch untuk mengidentifikasi tingkat kepelikan patch yang ditentukannya, keluarga sistem operasi tempat patch diterapkan, dan jenis lingkungan. Dalam kasus ini, Anda dapat menentukan tag yang serupa dengan pasangan nama/nilai kunci berikut:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. Pilih Buat dasar patch.