Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Cara menginstal patch

PDF
RSS
Mode fokus
Cara menginstal patch - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Patch Manager, alat di AWS Systems Manager, menggunakan mekanisme bawaan yang sesuai untuk jenis sistem operasi untuk menginstal pembaruan pada node terkelola. Misalnya, pada Windows Server, Windows Update API digunakan, dan di Amazon Linux 2 manajer yum paket digunakan.

Pilih dari tab berikut untuk mempelajari caranya Patch Manager menginstal patch pada sistem operasi.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

Di node yang dikelola Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, dan Amazon Linux 2023, alur kerja penginstalan tambalan adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesMemberikannya persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. API pembaruan YUM (Amazon Linux 1, Amazon Linux 2) atau API pembaruan DNF (Amazon Linux 2022, Amazon Linux 2023) diterapkan ke tambalan yang disetujui sebagai berikut:

    • Untuk garis dasar patch default yang telah ditentukan yang disediakan oleh AWS, hanya tambalan yang ditentukan dalam yang updateinfo.xml diterapkan (hanya pembaruan keamanan). Ini karena kotak centang Sertakan pembaruan nonkeamanan tidak dipilih. Garis dasar yang telah ditentukan setara dengan baseline kustom dengan yang berikut:

      • Kotak centang Sertakan pembaruan nonkeamanan tidak dipilih

      • Daftar KEPARAHAN [Critical, Important]

      • Daftar KLASIFIKASI [Security, Bugfix]

      Untuk Amazon Linux 1 dan Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:

      sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

      Untuk Amazon Linux 2022 dan Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:

      sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

      Jika kotak centang Sertakan pembaruan nonkeamanan dipilih, semua tambalan updateinfo.xml dan yang tidak masuk updateinfo.xml akan diterapkan (pembaruan keamanan dan nonkeamanan).

      Untuk Amazon Linux 1 dan Amazon Linux 2, jika baseline dengan Include pembaruan nonsecurity dipilih, memiliki daftar KEPARAHAN [Critical, Important] dan daftar KLASIFIKASI[Security, Bugfix], perintah yum yang setara adalah:

      sudo yum update --security --sec-severity=Critical,Important --bugfix -y

      Untuk Amazon Linux 2022, dan Amazon Linux 2023, perintah dnf yang setara adalah:

      sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
      catatan

      Untuk Amazon Linux 2022 dan Amazon Linux 2023, tingkat keparahan patch Medium setara dengan tingkat keparahan Moderate yang mungkin ditentukan di beberapa repositori eksternal. Jika Anda menyertakan patch Medium keparahan di baseline patch, patch Moderate keparahan dari patch eksternal juga diinstal pada instance.

      Saat Anda menanyakan data kepatuhan menggunakan tindakan API DescribeInstancePatches, penyaringan untuk tingkat keparahan Medium melaporkan tambalan dengan tingkat keparahan keduanya Medium dan. Moderate

      Amazon Linux 2022 dan Amazon Linux 2023 juga mendukung tingkat keparahan patchNone, yang diakui oleh manajer paket DNF.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.)

CentOS and CentOS Stream

Di CentOS dan CentOS Stream node terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

    Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  2. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  3. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesMemberikannya persetujuan.

  4. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  5. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  6. API pembaruan YUM (pada versi CentOS 6.x dan 7.x) atau pembaruan DNF (pada CentOS 8 dan CentOS Stream) diterapkan pada tambalan yang disetujui.

  7. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.)

Debian Server and Raspberry Pi OS

Pada Debian Server and Raspberry Pi OS (sebelumnya Raspbian) misalnya, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

    penting

    Pada Debian Server 8 saja: Karena beberapa Debian Server 8.* node terkelola merujuk ke repositori paket usang (), jessie-backports Patch Manager melakukan langkah-langkah tambahan berikut untuk memastikan bahwa operasi patching berhasil:

    1. Pada node terkelola Anda, referensi ke jessie-backports repositori dikomentari dari daftar lokasi sumber (). /etc/apt/sources.list.d/jessie-backports Akibatnya, tidak ada upaya yang dilakukan untuk mengunduh patch dari lokasi tersebut.

    2. Kunci penandatanganan pembaruan keamanan Stretch diimpor. Kunci ini memberikan izin yang diperlukan untuk operasi pembaruan dan penginstalan Debian Server 8.* distribusi.

    3. apt-getOperasi dijalankan pada titik ini untuk memastikan bahwa versi terbaru diinstal sebelum proses penambalan dimulai. python3-apt

    4. Setelah proses instalasi selesai, referensi ke repositori jessie-backports dipulihkan dan kunci penandatanganan dihapus dari keyring sumber apt. Hal ini dilakukan untuk mempertahankan konfigurasi sistem seperti keadaan sebelum operasi patching.

    Lain kali Patch Manager memperbarui sistem, proses yang sama diulang.

  3. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  4. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan dengan andal Debian Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    catatan

    Untuk Debian Server and Raspberry Pi OS, versi kandidat tambalan terbatas pada tambalan yang disertakan dalamdebian-security.

  5. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesMemberikannya persetujuan.

  6. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  7. Pustaka APT digunakan untuk memutakhirkan paket.

    catatan

    Patch Manager tidak mendukung penggunaan Pin-Priority opsi APT untuk menetapkan prioritas ke paket. Patch Manager menggabungkan pembaruan yang tersedia dari semua repositori yang diaktifkan dan memilih pembaruan terbaru yang cocok dengan baseline untuk setiap paket yang diinstal.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.)

macOS

Pada macOS node terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Daftar properti /Library/Receipts/InstallHistory.plist adalah catatan perangkat lunak yang telah diinstal dan dimutakhirkan menggunakan pengelola paket softwareupdate dan installer. Menggunakan alat baris perintah pkgutil (untuk installer) dan pengelola paket softwareupdate, perintah CLI dijalankan untuk mengurai daftar ini.

    Untukinstaller, respons terhadap perintah CLI mencakuppackage name,,version, volumelocation, dan install-time detail, tetapi hanya package name dan version digunakan oleh Patch Manager.

    Untuk softwareupdate, respon terhadap perintah CLI meliputi nama paket (display name), version, dan date, tetapi hanya nama paket dan versi yang digunakan oleh Patch Manager.

    Untuk Brew dan Brew Cask, Homebrew tidak mendukung perintahnya berjalan dalam kendali pengguna root. Akibatnya, Patch Manager kueri untuk dan menjalankan perintah Homebrew baik sebagai pemilik direktori Homebrew atau sebagai pengguna valid milik grup pemilik direktori Homebrew. Perintahnya mirip dengan softwareupdate dan installer dan dijalankan melalui sub-proses Python untuk mengumpulkan data paket, dan outputnya diurai untuk mengidentifikasi nama dan versi paket.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesMemberikannya persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. Memanggil CLI paket yang sesuai pada node terkelola untuk memproses tambalan yang disetujui sebagai berikut:

    catatan

    installer tidak memiliki fungsi untuk memeriksa dan menginstal pembaruan. Oleh karena ituinstaller, untuk Patch Manager hanya melaporkan paket mana yang diinstal. Akibatnya, paket installer tidak pernah dilaporkan sebagai Missing.

    • Untuk baseline patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih, hanya pembaruan keamanan yang diterapkan.

    • Untuk garis dasar tambalan khusus di mana kotak centang Sertakan pembaruan non-keamanan dipilih, pembaruan keamanan dan nonkeamanan diterapkan.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.)

Oracle Linux

Pada Oracle Linux node terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesMemberikannya persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. Pada node terkelola versi 7, API pembaruan YUM diterapkan ke tambalan yang disetujui sebagai berikut:

    • Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih, hanya tambalan yang ditentukan dalam updateinfo.xml yang diterapkan (hanya pembaruan keamanan).

      Perintah setara yum untuk alur kerja ini adalah:

      sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    • Untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih, tambalan yang masuk updateinfo.xml dan yang tidak updateinfo.xml ada diterapkan (pembaruan keamanan dan nonkeamanan).

      Perintah setara yum untuk alur kerja ini adalah:

      sudo yum update --security --bugfix -y

      Pada node terkelola versi 8 dan 9, API pembaruan DNF diterapkan ke tambalan yang disetujui sebagai berikut:

      • Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih, hanya tambalan yang ditentukan dalam updateinfo.xml yang diterapkan (hanya pembaruan keamanan).

        Perintah setara yum untuk alur kerja ini adalah:

        sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

      • Untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih, tambalan yang masuk updateinfo.xml dan yang tidak updateinfo.xml ada diterapkan (pembaruan keamanan dan nonkeamanan).

        Perintah setara yum untuk alur kerja ini adalah:

        sudo dnf upgrade --security --bugfix

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.)

AlmaLinux, RHEL, and Rocky Linux

Pada AlmaLinux, Red Hat Enterprise Linux, dan Rocky Linux node terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesMemberikannya persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. API pembaruan YUM (aktif RHEL 7) atau API pembaruan DNF (pada AlmaLinux 8 dan 9, RHEL 8 dan 9, dan Rocky Linux 8 dan 9) diterapkan pada tambalan yang disetujui sebagai berikut:

    • Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih, hanya tambalan yang ditentukan dalam updateinfo.xml yang diterapkan (hanya pembaruan keamanan).

      Untuk RHEL 7, perintah yum setara untuk alur kerja ini adalah:

      sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

      Untuk AlmaLinux, RHEL 8, dan Rocky Linux , perintah dnf yang setara untuk alur kerja ini adalah:

      sudo dnf update-minimal --sec-severity=Critical --bugfix -y ; \
sudo dnf update-minimal --sec-severity=Important --bugfix -y

    • Untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih, tambalan yang masuk updateinfo.xml dan yang tidak updateinfo.xml ada diterapkan (pembaruan keamanan dan nonkeamanan).

      Untuk RHEL 7, perintah yum setara untuk alur kerja ini adalah:

      sudo yum update --security --bugfix -y

      Untuk AlmaLinux 8 dan 9, RHEL 8 dan 9, dan Rocky Linux 8 dan 9, perintah dnf setara untuk alur kerja ini adalah:

      sudo dnf update --security --bugfix -y

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.)

SLES

Pada SUSE Linux Enterprise Server (SLES) node terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesMemberikannya persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. API pembaruan Zypper diterapkan untuk patch yang disetujui.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.)

Ubuntu Server

Pada Ubuntu Server node terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

  3. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  4. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan dengan andal Ubuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    Namun, aturan persetujuan juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    catatan

    Untuk setiap versi Ubuntu Server, versi kandidat tambalan terbatas pada tambalan yang merupakan bagian dari repo terkait untuk versi itu, sebagai berikut:

    • Ubuntu Server 14.04 LTS: trusty-security

    • Ubuntu Server 16.04 LTS: xenial-security

    • Ubuntu Server 18.04 LTS: bionic-security

    • Ubuntu Server 20.04 LTS): focal-security

    • Ubuntu Server 20.10 STR: groovy-security

    • Ubuntu Server 22.04 LTS: jammy-security

    • Ubuntu Server 23.04: lunar-lobster

  5. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesMemberikannya persetujuan.

  6. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  7. Pustaka APT digunakan untuk memutakhirkan paket.

    catatan

    Patch Manager tidak mendukung penggunaan Pin-Priority opsi APT untuk menetapkan prioritas ke paket. Patch Manager menggabungkan pembaruan yang tersedia dari semua repositori yang diaktifkan dan memilih pembaruan terbaru yang cocok dengan baseline untuk setiap paket yang diinstal.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.)

Windows Server

Ketika operasi penambalan dilakukan pada Windows Server node terkelola, node meminta snapshot dari baseline patch yang sesuai dari Systems Manager. snapshot ini berisi daftar semua pembaruan yang tersedia di dasar patch yang disetujui untuk deployment. Daftar pembaruan ini dikirim ke Windows Update API, yang menentukan pembaruan mana yang berlaku untuk node terkelola dan menginstalnya sesuai kebutuhan. Windows hanya mengizinkan versi KB terbaru yang tersedia untuk diinstal. Patch Manager menginstal versi terbaru KB saat KB, atau versi KB sebelumnya, cocok dengan baseline patch yang diterapkan. Jika ada pembaruan yang diinstal, node terkelola akan di-boot ulang setelahnya, sebanyak yang diperlukan untuk menyelesaikan semua tambalan yang diperlukan. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.) Ringkasan operasi penambalan dapat ditemukan di output Run Command permintaan. Log tambahan dapat ditemukan pada node terkelola di %PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs folder.

Karena API Pembaruan Windows digunakan untuk mengunduh dan menginstal KBs, semua pengaturan Kebijakan Grup untuk Pembaruan Windows dihormati. Tidak ada pengaturan Kebijakan Grup yang diperlukan untuk digunakan Patch Manager, tetapi pengaturan apa pun yang telah Anda tentukan akan diterapkan, seperti mengarahkan node yang dikelola ke server Windows Server Update Services (WSUS).

catatan

Secara default, Windows mengunduh semua KBs dari situs Pembaruan Windows Microsoft karena Patch Manager menggunakan Windows Update API untuk mendorong download dan instalasi KBs. Akibatnya, node yang dikelola harus dapat mencapai situs Pembaruan Microsoft Windows atau tambalan akan gagal. Atau, Anda dapat mengonfigurasi server WSUS untuk berfungsi sebagai repositori KB dan mengonfigurasi node terkelola Anda untuk menargetkan server WSUS menggunakan Kebijakan Grup.

Patch Manager mungkin mereferensikan KB IDs saat membuat baseline tambalan khusus untuk Windows Server, seperti ketika daftar tambalan yang Disetujui atau daftar tambalan Ditolak disertakan konfigurasi dasar. Hanya pembaruan yang diberi ID KB di Pembaruan Microsoft Windows atau server WSUS yang diinstal oleh Patch Manager. Pembaruan yang tidak memiliki ID KB tidak termasuk dalam operasi penambalan.

Untuk informasi tentang membuat baseline patch kustom, lihat topik berikut:

anchoranchoranchoranchoranchoranchoranchoranchoranchor

Di node yang dikelola Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, dan Amazon Linux 2023, alur kerja penginstalan tambalan adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesMemberikannya persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. API pembaruan YUM (Amazon Linux 1, Amazon Linux 2) atau API pembaruan DNF (Amazon Linux 2022, Amazon Linux 2023) diterapkan ke tambalan yang disetujui sebagai berikut:

    • Untuk garis dasar patch default yang telah ditentukan yang disediakan oleh AWS, hanya tambalan yang ditentukan dalam yang updateinfo.xml diterapkan (hanya pembaruan keamanan). Ini karena kotak centang Sertakan pembaruan nonkeamanan tidak dipilih. Garis dasar yang telah ditentukan setara dengan baseline kustom dengan yang berikut:

      • Kotak centang Sertakan pembaruan nonkeamanan tidak dipilih

      • Daftar KEPARAHAN [Critical, Important]

      • Daftar KLASIFIKASI [Security, Bugfix]

      Untuk Amazon Linux 1 dan Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:

      sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

      Untuk Amazon Linux 2022 dan Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:

      sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

      Jika kotak centang Sertakan pembaruan nonkeamanan dipilih, semua tambalan updateinfo.xml dan yang tidak masuk updateinfo.xml akan diterapkan (pembaruan keamanan dan nonkeamanan).

      Untuk Amazon Linux 1 dan Amazon Linux 2, jika baseline dengan Include pembaruan nonsecurity dipilih, memiliki daftar KEPARAHAN [Critical, Important] dan daftar KLASIFIKASI[Security, Bugfix], perintah yum yang setara adalah:

      sudo yum update --security --sec-severity=Critical,Important --bugfix -y

      Untuk Amazon Linux 2022, dan Amazon Linux 2023, perintah dnf yang setara adalah:

      sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
      catatan

      Untuk Amazon Linux 2022 dan Amazon Linux 2023, tingkat keparahan patch Medium setara dengan tingkat keparahan Moderate yang mungkin ditentukan di beberapa repositori eksternal. Jika Anda menyertakan patch Medium keparahan di baseline patch, patch Moderate keparahan dari patch eksternal juga diinstal pada instance.

      Saat Anda menanyakan data kepatuhan menggunakan tindakan API DescribeInstancePatches, penyaringan untuk tingkat keparahan Medium melaporkan tambalan dengan tingkat keparahan keduanya Medium dan. Moderate

      Amazon Linux 2022 dan Amazon Linux 2023 juga mendukung tingkat keparahan patchNone, yang diakui oleh manajer paket DNF.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager berjalan. Untuk informasi lebih lanjut, lihat Nama parameter: RebootOption.)

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.