Cara menginstal patch - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara menginstal patch

Patch Manager, kemampuan AWS Systems Manager, menggunakan mekanisme bawaan yang sesuai untuk jenis sistem operasi untuk menginstal pembaruan pada node terkelola. Misalnya, padaWindows Server, Pembaruan Windows API digunakan, dan di Amazon Linux 2 manajer yum paket digunakan.

Pilih dari tab berikut untuk mempelajari cara Patch Manager menginstal patch pada sistem operasi.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

Di node yang dikelola Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, dan Amazon Linux 2023, alur kerja penginstalan tambalan adalah sebagai berikut:

  1. Jika daftar tambalan ditentukan menggunakan https URL atau gaya jalur Amazon Simple Storage Service (Amazon S3) URL menggunakan InstallOverrideList parameter untuk AWS-RunPatchBaselineAssociation dokumen AWS-RunPatchBaseline atau, tambalan yang terdaftar akan diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. YUMPembaruan API (Amazon Linux 1, Amazon Linux 2) atau DNF pembaruan API (Amazon Linux 2022, Amazon Linux 2023) diterapkan ke tambalan yang disetujui sebagai berikut:

    • Untuk garis dasar patch default yang telah ditentukan yang disediakan oleh AWS, hanya tambalan yang ditentukan dalam yang updateinfo.xml diterapkan (hanya pembaruan keamanan). Ini karena kotak centang Sertakan pembaruan nonkeamanan tidak dipilih. Garis dasar yang telah ditentukan setara dengan baseline kustom dengan yang berikut:

      • Kotak centang Sertakan pembaruan nonkeamanan tidak dipilih

      • Sebuah SEVERITY daftar [Critical, Important]

      • Sebuah CLASSIFICATION daftar [Security, Bugfix]

      Untuk Amazon Linux 1 dan Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:

      sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

      Untuk Amazon Linux 2022 dan Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:

      sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

      Jika kotak centang Sertakan pembaruan nonkeamanan dipilih, semua tambalan updateinfo.xml dan yang tidak masuk updateinfo.xml akan diterapkan (pembaruan keamanan dan nonkeamanan).

      Untuk Amazon Linux 1 dan Amazon Linux 2, jika baseline dengan Include pembaruan nonsecurity dipilih, memiliki SEVERITY daftar [Critical, Important] dan daftar[Security, Bugfix], perintah CLASSIFICATION yum yang setara adalah:

      sudo yum update --security --sec-severity=Critical,Important --bugfix -y

      Untuk Amazon Linux 2022, dan Amazon Linux 2023, perintah dnf yang setara adalah:

      sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
      catatan

      Untuk Amazon Linux 2022 dan Amazon Linux 2023, tingkat keparahan patch Medium setara dengan tingkat keparahan Moderate yang mungkin ditentukan di beberapa repositori eksternal. Jika Anda menyertakan patch Medium keparahan di baseline patch, patch Moderate keparahan dari patch eksternal juga diinstal pada instance.

      Saat Anda menanyakan data kepatuhan menggunakan API tindakan DescribeInstancePatches, pemfilteran untuk tingkat keparahan akan Medium melaporkan tambalan dengan tingkat keparahan keduanya Medium dan. Moderate

      Amazon Linux 2022 dan Amazon Linux 2023 juga mendukung tingkat keparahan patchNone, yang diakui oleh manajer DNF paket.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

CentOS and CentOS Aliran

Pada CentOS dan node CentOS Stream terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar tambalan ditentukan menggunakan https URL atau gaya jalur Amazon Simple Storage Service (Amazon S3) URL menggunakan InstallOverrideList parameter untuk AWS-RunPatchBaselineAssociation dokumen AWS-RunPatchBaseline atau, tambalan yang terdaftar akan diinstal dan langkah 2-7 dilewati.

    Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  2. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  3. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  4. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  5. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  6. YUMPembaruan API (pada versi CentOS 6.x dan 7.x) atau pembaruan DNF (pada CentOS 8 danCentOS Stream) diterapkan ke tambalan yang disetujui.

  7. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

Debian Server and Raspberry Pi OS

Pada Debian Server dan Raspberry Pi OS (sebelumnya Raspbian) instance, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar tambalan ditentukan menggunakan https URL atau gaya jalur Amazon Simple Storage Service (Amazon S3) URL menggunakan InstallOverrideList parameter untuk AWS-RunPatchBaselineAssociation dokumen AWS-RunPatchBaseline atau, tambalan yang terdaftar akan diinstal dan langkah 2-7 dilewati.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

    penting

    Hanya pada Debian Server 8: Karena beberapa node terkelola Debian Server 8.* merujuk ke repositori paket usang (jessie-backports), Patch Manager lakukan langkah-langkah tambahan berikut untuk memastikan bahwa operasi penambalan berhasil:

    1. Pada node terkelola Anda, referensi ke jessie-backports repositori dikomentari dari daftar lokasi sumber (). /etc/apt/sources.list.d/jessie-backports Akibatnya, tidak ada upaya yang dilakukan untuk mengunduh patch dari lokasi tersebut.

    2. Kunci penandatanganan pembaruan keamanan Stretch diimpor. Kunci ini memberikan izin yang diperlukan untuk operasi pembaruan dan penginstalan pada distribusi Debian Server 8.*.

    3. apt-getOperasi dijalankan pada titik ini untuk memastikan bahwa versi terbaru diinstal sebelum proses penambalan dimulai. python3-apt

    4. Setelah proses instalasi selesai, referensi ke repositori jessie-backports dipulihkan dan kunci penandatanganan dihapus dari keyring sumber apt. Hal ini dilakukan untuk mempertahankan konfigurasi sistem seperti keadaan sebelum operasi patching.

    Lain kali Patch Manager memperbarui sistem, proses yang sama diulang.

  3. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  4. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalDebian Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    catatan

    Untuk Debian Server danRaspberry Pi OS, versi kandidat patch terbatas pada tambalan yang disertakan di debian-security dalamnya.

  5. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  6. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  7. APTPerpustakaan digunakan untuk meng-upgrade paket.

    catatan

    Patch Managertidak mendukung penggunaan APT Pin-Priority opsi untuk menetapkan prioritas ke paket. Patch Managermenggabungkan pembaruan yang tersedia dari semua repositori yang diaktifkan dan memilih pembaruan terbaru yang cocok dengan baseline untuk setiap paket yang diinstal.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

macOS

Pada node macOS terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Daftar properti /Library/Receipts/InstallHistory.plist adalah catatan perangkat lunak yang telah diinstal dan dimutakhirkan menggunakan pengelola paket softwareupdate dan installer. Menggunakan alat baris pkgutil perintah (untukinstaller) dan manajer softwareupdate paket, CLI perintah dijalankan untuk mengurai daftar ini.

    Untukinstaller, respons terhadap CLI perintah mencakuppackage name,version,volume,location, dan install-time detail, tetapi hanya package name dan version digunakan olehPatch Manager.

    Untuksoftwareupdate, respons terhadap CLI perintah termasuk nama paket (display name),, dan versiondate, tetapi hanya nama paket dan versi yang digunakan oleh Patch Manager.

    Untuk Brew dan Brew Cask, Homebrew tidak mendukung perintahnya berjalan dalam kendali pengguna root. Akibatnya, Patch Manager kueri untuk dan menjalankan perintah Homebrew baik sebagai pemilik direktori Homebrew atau sebagai pengguna valid milik grup pemilik direktori Homebrew. Perintahnya mirip dengan softwareupdate dan installer dan dijalankan melalui sub-proses Python untuk mengumpulkan data paket, dan outputnya diurai untuk mengidentifikasi nama dan versi paket.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. Memanggil paket yang sesuai CLI pada node terkelola untuk memproses tambalan yang disetujui sebagai berikut:

    catatan

    installer tidak memiliki fungsi untuk memeriksa dan menginstal pembaruan. Oleh karena ituinstaller, untuk, Patch Manager hanya melaporkan paket mana yang diinstal. Akibatnya, paket installer tidak pernah dilaporkan sebagai Missing.

    • Untuk baseline patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih, hanya pembaruan keamanan yang diterapkan.

    • Untuk garis dasar tambalan khusus di mana kotak centang Sertakan pembaruan non-keamanan dipilih, pembaruan keamanan dan nonkeamanan diterapkan.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

Oracle Linux

Pada node Oracle Linux terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar tambalan ditentukan menggunakan https URL atau gaya jalur Amazon Simple Storage Service (Amazon S3) URL menggunakan InstallOverrideList parameter untuk AWS-RunPatchBaselineAssociation dokumen AWS-RunPatchBaseline atau, tambalan yang terdaftar akan diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. Pada node terkelola versi 7, YUM pembaruan API diterapkan ke tambalan yang disetujui sebagai berikut:

    • Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih, hanya tambalan yang ditentukan dalam updateinfo.xml yang diterapkan (hanya pembaruan keamanan).

      Perintah setara yum untuk alur kerja ini adalah:

      sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    • Untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih, tambalan yang masuk updateinfo.xml dan yang tidak updateinfo.xml ada diterapkan (pembaruan keamanan dan nonkeamanan).

      Perintah setara yum untuk alur kerja ini adalah:

      sudo yum update --security --bugfix -y

      Pada node terkelola versi 8 dan 9, DNF pembaruan API diterapkan ke tambalan yang disetujui sebagai berikut:

      • Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih, hanya tambalan yang ditentukan dalam updateinfo.xml yang diterapkan (hanya pembaruan keamanan).

        Perintah setara yum untuk alur kerja ini adalah:

        sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

      • Untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih, tambalan yang masuk updateinfo.xml dan yang tidak updateinfo.xml ada diterapkan (pembaruan keamanan dan nonkeamanan).

        Perintah setara yum untuk alur kerja ini adalah:

        sudo dnf upgrade --security --bugfix

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

AlmaLinux, RHEL, and Linux Rocky

Pada AlmaLinux,Red Hat Enterprise Linux, dan node Rocky Linux terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar tambalan ditentukan menggunakan https URL atau gaya jalur Amazon Simple Storage Service (Amazon S3) URL menggunakan InstallOverrideList parameter untuk AWS-RunPatchBaselineAssociation dokumen AWS-RunPatchBaseline atau, tambalan yang terdaftar akan diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. YUMPembaruan API (pada RHEL 7) atau DNF pembaruan API (pada AlmaLinux 8 dan 9, RHEL 8 dan 9, dan Rocky Linux 8 dan 9) diterapkan pada tambalan yang disetujui sebagai berikut:

    • Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih, hanya tambalan yang ditentukan dalam updateinfo.xml yang diterapkan (hanya pembaruan keamanan).

      Untuk RHEL 7, perintah yum setara untuk alur kerja ini adalah:

      sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

      Untuk AlmaLinux, RHEL 8, danRocky Linux, perintah dnf yang setara untuk alur kerja ini adalah:

      sudo dnf update-minimal --sec-severity=Critical --bugfix -y ; \
sudo dnf update-minimal --sec-severity=Important --bugfix -y

    • Untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih, tambalan yang masuk updateinfo.xml dan yang tidak updateinfo.xml ada diterapkan (pembaruan keamanan dan nonkeamanan).

      Untuk RHEL 7, perintah yum setara untuk alur kerja ini adalah:

      sudo yum update --security --bugfix -y

      Untuk AlmaLinux 8 dan 9, RHEL 8 dan 9, dan Rocky Linux 8 dan 9, perintah dnf setara untuk alur kerja ini adalah:

      sudo dnf update --security --bugfix -y

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

SLES

Pada node yang dikelola SUSE Linux Enterprise Server (SLES), alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar tambalan ditentukan menggunakan https URL atau gaya jalur Amazon Simple Storage Service (Amazon S3) URL menggunakan InstallOverrideList parameter untuk AWS-RunPatchBaselineAssociation dokumen AWS-RunPatchBaseline atau, tambalan yang terdaftar akan diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. Pembaruan Zypper API diterapkan ke tambalan yang disetujui.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

Ubuntu Server

Pada node Ubuntu Server terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar tambalan ditentukan menggunakan https URL atau gaya jalur Amazon Simple Storage Service (Amazon S3) URL menggunakan InstallOverrideList parameter untuk AWS-RunPatchBaselineAssociation dokumen AWS-RunPatchBaseline atau, tambalan yang terdaftar akan diinstal dan langkah 2-7 dilewati.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

  3. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  4. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    Namun, aturan persetujuan juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    catatan

    Untuk setiap versiUbuntu Server, versi kandidat tambalan terbatas pada tambalan yang merupakan bagian dari repo terkait untuk versi tersebut, sebagai berikut:

    • Ubuntu Server14.04LTS: trusty-security

    • Ubuntu Server16.04LTS: xenial-security

    • Ubuntu Server18.04LTS: bionic-security

    • Ubuntu Server20.04LTS): focal-security

    • Ubuntu Server20.10STR: groovy-security

    • Ubuntu Server22.04LTS: jammy-security

    • Ubuntu Server23.04: lunar-lobster

  5. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  6. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  7. APTPerpustakaan digunakan untuk meng-upgrade paket.

    catatan

    Patch Managertidak mendukung penggunaan APT Pin-Priority opsi untuk menetapkan prioritas ke paket. Patch Managermenggabungkan pembaruan yang tersedia dari semua repositori yang diaktifkan dan memilih pembaruan terbaru yang cocok dengan baseline untuk setiap paket yang diinstal.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

Windows Server

Ketika operasi patching dilakukan pada node Windows Server terkelola, node meminta snapshot dari baseline patch yang sesuai dari Systems Manager. snapshot ini berisi daftar semua pembaruan yang tersedia di dasar patch yang disetujui untuk deployment. Daftar pembaruan ini dikirim ke Pembaruan WindowsAPI, yang menentukan pembaruan mana yang berlaku untuk node terkelola dan menginstalnya sesuai kebutuhan. Windows hanya mengizinkan versi KB terbaru yang tersedia untuk diinstal. Patch Managermenginstal versi terbaru KB saat KB, atau versi KB sebelumnya, cocok dengan baseline patch yang diterapkan. Jika ada pembaruan yang diinstal, node terkelola akan di-boot ulang setelahnya, sebanyak yang diperlukan untuk menyelesaikan semua tambalan yang diperlukan. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.) Ringkasan operasi penambalan dapat ditemukan di output Run Command permintaan. Log tambahan dapat ditemukan pada node terkelola di %PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs folder.

Karena Pembaruan Windows API digunakan untuk mengunduh dan menginstalKBs, semua pengaturan Kebijakan Grup untuk Pembaruan Windows dihormati. Tidak ada pengaturan Kebijakan Grup yang diperlukan untuk digunakanPatch Manager, tetapi pengaturan apa pun yang telah Anda tetapkan akan diterapkan, seperti mengarahkan node terkelola ke server Windows Server Update Services (WSUS).

catatan

Secara default, Windows mengunduh semua KBs dari situs Pembaruan Windows Microsoft karena Patch Manager menggunakan Pembaruan Windows API untuk mendorong unduhan dan pemasanganKBs. Akibatnya, node yang dikelola harus dapat mencapai situs Pembaruan Microsoft Windows atau tambalan akan gagal. Atau, Anda dapat mengonfigurasi WSUS server untuk berfungsi sebagai repositori KB dan mengonfigurasi node terkelola Anda untuk menargetkan WSUS server tersebut menggunakan Kebijakan Grup.