Cara kerja aturan dasar patch pada sistem berbasis Linux - AWS Systems Manager
Cara kerja aturan dasar patch di Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 dan Amazon Linux 2023Cara kerja aturan dasar tambalan di CentOS dan CentOS StreamCara kerja aturan dasar tambalan Debian Server and Raspberry Pi OSCara kerja aturan dasar tambalan macOSCara kerja aturan dasar tambalan Oracle LinuxCara kerja aturan dasar tambalan, AlmaLinux RHEL, dan Rocky LinuxCara kerja aturan dasar tambalan SUSE Linux Enterprise ServerCara kerja aturan dasar tambalan Ubuntu Server

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja aturan dasar patch pada sistem berbasis Linux

Aturan dalam dasar patch untuk distribusi Linux beroperasi dengan cara yang berbeda berdasarkan jenis distribusi. Tidak seperti pembaruan tambalan pada Windows Server node terkelola, aturan dievaluasi pada setiap node untuk mempertimbangkan repo yang dikonfigurasi pada instance. Patch Manager, kemampuan AWS Systems Manager, menggunakan manajer paket asli untuk mendorong pemasangan tambalan yang disetujui oleh baseline patch.

Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager menggunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau tambalan individual. Patch Manager tidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti Common Vulnerability Scoring System (CVSS), atau dari metrik yang dirilis oleh National Vulnerability Database (). NVD

Cara kerja aturan dasar patch di Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 dan Amazon Linux 2023

Di Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 dan Amazon Linux 2023, proses pemilihan tambalan adalah sebagai berikut:

  1. Pada node yang dikelola, YUM perpustakaan (Amazon Linux 1 dan, Amazon Linux 2) atau DNF perpustakaan (Amazon Linux 2022 dan Amazon Linux 2023) mengakses updateinfo.xml file untuk setiap repo yang dikonfigurasi.

    catatan

    Jika tidak ada updateinfo.xml file yang ditemukan, apakah patch diinstal tergantung pada pengaturan untuk Sertakan pembaruan non-keamanan dan Persetujuan otomatis. Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

  2. Setiap pemberitahuan pembaruan di updateinfo.xml mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi di baseline patch PatchFiltertipe data. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau API operasiDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan di baseline patch PatchFiltertipe data. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau API operasiDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasihat, seperti ALAS -2017-867. Advisory ID dapat digunakan di ApprovedPatches atau RejectedPatchesatribut di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti CVE ID (format: CVE-2017-1234567). CVEID dapat digunakan di ApprovedPatches atau RejectedPatchesatribut di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays

    catatan

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Produk dari node terkelola ditentukan oleh SSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk di baseline patch PatchFiltertipe data.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pemberitahuan pembaruan di updateinfo.xml, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk Amazon Linux 1 dan Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Untuk Amazon Linux 2022 dan Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan SEVERITY daftar [Critical, Important] dan daftar CLASSIFICATION [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk Amazon Linux dan Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update-minimal --security --sec-severity=Critical,Important --bugfix -y

    Untuk Amazon Linux 2022 dan Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --security --sec-severity=Critical --sec-severity=Important --bugfix -y

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar tambalan di CentOS dan CentOS Stream

CentOS dan CentOS Stream repositori default tidak menyertakan fileupdateinfo.xml. Namun, repositori khusus yang Anda buat atau gunakan mungkin menyertakan file ini. Dalam topik ini, referensi hanya updateinfo.xml berlaku untuk repositori khusus ini.

Di CentOS dan CentOS Stream, proses pemilihan tambalan adalah sebagai berikut:

  1. Pada node terkelola, YUM perpustakaan (pada versi CentOS 6.x dan 7.x) atau perpustakaan DNF (pada CentOS 8.x dan CentOS Stream) mengakses updateinfo.xml file, jika ada di repositori khusus, untuk setiap repo yang dikonfigurasi.

    Jika tidak updateinfo.xml ditemukan, yang selalu menyertakan repo default, apakah tambalan diinstal tergantung pada pengaturan untuk Sertakan pembaruan non-keamanan dan Persetujuan otomatis. Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

  2. Jika updateinfo.xml ada, setiap pemberitahuan pembaruan dalam file menyertakan beberapa atribut yang menunjukkan properti paket dalam pemberitahuan, seperti yang dijelaskan dalam tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi di baseline patch PatchFiltertipe data. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau API operasiDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan di baseline patch PatchFiltertipe data. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau API operasiDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasihat, seperti CVE -2019-17055. Advisory ID dapat digunakan di ApprovedPatches atau RejectedPatchesatribut di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti CVE ID (format: CVE-2019-17055) atau ID Bugzilla (format: 1463241). CVEID dan ID Bugzilla dapat digunakan di ApprovedPatches atau RejectedPatchesatribut di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays
    catatan

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Dalam semua kasus, produk dari node terkelola ditentukan oleh SSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk di baseline patch PatchFiltertipe data.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pemberitahuan pembaruan diupdateinfo.xml, jika ada di repositori khusus, baseline patch digunakan sebagai filter, yang memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk CentOS 6 dan 7 di mana updateinfo.xml ada, perintah yum setara untuk alur kerja ini adalah:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Untuk CentOS 8 dan CentOS Stream dimana updateinfo.xml hadir, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan SEVERITY daftar [Critical, Important] dan daftar CLASSIFICATION [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, jika ada di repositori khusus, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk CentOS 6 dan 7 di mana updateinfo.xml ada, perintah yum setara untuk alur kerja ini adalah:

    sudo yum update --sec-severity=Critical,Important --bugfix -y

    Untuk CentOS 8 dan CentOS Stream dimana updateinfo.xml hadir, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y

    Untuk repo default dan repo kustom tanpaupdateinfo.xml, Anda harus memilih kotak centang Sertakan pembaruan non-keamanan untuk memperbarui paket sistem operasi (OS).

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar tambalan Debian Server and Raspberry Pi OS

Pada Debian Server and Raspberry Pi OS (sebelumnya Raspbian), layanan baseline patch menawarkan pemfilteran pada bidang Prioritas dan Bagian. Bidang ini biasanya hadir untuk semua Debian Server and Raspberry Pi OS paket. Untuk menentukan apakah tambalan dipilih oleh baseline patch, Patch Manager melakukan hal berikut:

  1. Pada Debian Server and Raspberry Pi OS sistem, setara dengan sudo apt-get update dijalankan untuk menyegarkan daftar paket yang tersedia. Repo tidak dikonfigurasi dan data ditarik dari repo yang dikonfigurasi dalam daftar sources.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

    penting

    Pada Debian Server 8 saja: Karena Debian Server 8.* sistem operasi mengacu pada repositori paket usang (), jessie-backports Patch Manager melakukan langkah-langkah tambahan berikut untuk memastikan bahwa operasi patching berhasil:

    1. Pada node terkelola Anda, referensi ke jessie-backports repositori dikomentari dari daftar lokasi sumber (). /etc/apt/sources.list.d/jessie-backports Akibatnya, tidak ada upaya yang dilakukan untuk mengunduh patch dari lokasi tersebut.

    2. Kunci penandatanganan pembaruan keamanan Stretch diimpor. Kunci ini memberikan izin yang diperlukan untuk operasi pembaruan dan penginstalan Debian Server 8.* distribusi.

    3. apt-getOperasi dijalankan pada titik ini untuk memastikan bahwa versi terbaru diinstal sebelum proses penambalan dimulai. python3-apt

    4. Setelah proses instalasi selesai, referensi ke repositori jessie-backports dipulihkan dan kunci penandatanganan dihapus dari keyring sumber apt. Hal ini dilakukan untuk mempertahankan konfigurasi sistem seperti keadaan sebelum operasi patching.

  3. Selanjutnya, GlobalFilters, ApprovalRules, ApprovedPatches dan RejectedPatchesdaftar diterapkan.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan dengan andal Debian Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. Dalam hal ini, untuk Debian Server, versi kandidat tambalan terbatas pada tambalan yang disertakan dalam repo berikut:

    Repo ini dinamakan sebagai berikut:

    • Debian Server 8: debian-security jessie

    • Debian Server and Raspberry Pi OS 9: debian-security stretch

    • Debian Server 10: debian-security buster

    • Debian Server 11: debian-security bullseye

    • Debian Server 12: debian-security bookworm

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    catatan

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

Untuk melihat konten bidang Prioritas dan Bagian, jalankan perintah aptitude berikut ini:

catatan

Anda mungkin perlu menginstal Aptitude terlebih dahulu Debian Server sistem.

aptitude search -F '%p %P %s %t %V#' '~U'

Dalam menanggapi perintah ini, semua paket yang dapat dimutakhirkan dilaporkan dalam format ini: 

name, priority, section, archive, candidate version

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar tambalan macOS

Pada macOS, proses pemilihan tambalan adalah sebagai berikut:

  1. Pada node yang dikelola, Patch Manager mengakses isi InstallHistory.plist file yang diurai dan mengidentifikasi nama dan versi paket.

    Untuk detail tentang proses parsing, lihat macOStab diCara menginstal patch.

  2. Produk dari node terkelola ditentukan oleh SSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk di baseline patch PatchFiltertipe data.

  3. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pembaruan paket yang tersedia, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Garis dasar tambalan khusus di mana kotak centang Sertakan pembaruan non-keamanan dipilih

    Selain menerapkan pembaruan keamanan yang diidentifikasi dengan menggunakan InstallHistory.plist , Patch Manager menerapkan pembaruan non-keamanan yang memenuhi aturan filter patch.

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar tambalan Oracle Linux

Pada Oracle Linux, proses pemilihan tambalan adalah sebagai berikut:

  1. Pada node terkelola, YUM pustaka mengakses updateinfo.xml file untuk setiap repo yang dikonfigurasi.

    catatan

    updateinfo.xmlFile mungkin tidak tersedia jika repo tidak dikelola oleh Oracle. Jika tidak updateinfo.xml ditemukan, apakah patch diinstal tergantung pada pengaturan untuk Sertakan pembaruan non-keamanan dan Persetujuan otomatis. Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

  2. Setiap pemberitahuan pembaruan di updateinfo.xml mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi di baseline patch PatchFiltertipe data. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau API operasiDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan di baseline patch PatchFiltertipe data. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau API operasiDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasihat, seperti CVE -2019-17055. Advisory ID dapat digunakan di ApprovedPatches atau RejectedPatchesatribut di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti CVE ID (format: CVE-2019-17055) atau ID Bugzilla (format: 1463241). CVEID dan ID Bugzilla dapat digunakan di ApprovedPatches atau RejectedPatchesatribut di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays
    catatan

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Produk dari node terkelola ditentukan oleh SSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk di baseline patch PatchFiltertipe data.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pemberitahuan pembaruan di updateinfo.xml, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk node terkelola versi 7, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    Untuk node terkelola versi 8 dan 9, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan SEVERITY daftar [Critical, Important] dan daftar CLASSIFICATION [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk node terkelola versi 7, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Untuk node terkelola versi 8 dan 9, perintah dnf yang setara untuk alur kerja ini adalah: 

    sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar tambalan, AlmaLinux RHEL, dan Rocky Linux

Pada AlmaLinux, Red Hat Enterprise Linux (RHEL), dan Rocky Linux, proses pemilihan tambalan adalah sebagai berikut:

  1. Pada node terkelola, YUM perpustakaan (RHEL 7) atau DNF perpustakaan (AlmaLinux 8 dan 9, RHEL 8 dan 9, dan Rocky Linux 8 dan 9) mengakses updateinfo.xml file untuk setiap repo yang dikonfigurasi.

    catatan

    file updateinfo.xml mungkin tidak tersedia jika repo tidak dikelola oleh Red Hat. Jika tidak ada updateinfo.xml yang ditemukan, tidak ada patch yang diterapkan.

  2. Setiap pemberitahuan pembaruan di updateinfo.xml mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi di baseline patch PatchFiltertipe data. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau API operasiDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan di baseline patch PatchFiltertipe data. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau API operasiDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasihat, seperti RHSA- 2017:0864. Advisory ID dapat digunakan di ApprovedPatches atau RejectedPatchesatribut di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti CVE ID (format: CVE-2017-1000371) atau ID Bugzilla (format: 1463241). CVEID dan ID Bugzilla dapat digunakan di ApprovedPatches atau RejectedPatchesatribut di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays
    catatan

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Produk dari node terkelola ditentukan oleh SSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk di baseline patch PatchFiltertipe data.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih dalam aturan apa pun

    Untuk setiap pemberitahuan pembaruan di updateinfo.xml, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk RHEL 7, perintah yum setara untuk alur kerja ini adalah:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Untuk AlmaLinux 8 dan 9, RHEL 8 dan 9, dan Rocky Linux 8 dan 9, perintah dnf setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan SEVERITY daftar [Critical, Important] dan daftar CLASSIFICATION [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk RHEL 7, perintah yum setara untuk alur kerja ini adalah:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Untuk AlmaLinux 8 dan 9, RHEL 8 dan 9, dan Rocky Linux 8 dan 9, perintah dnf setara untuk alur kerja ini adalah:

    sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar tambalan SUSE Linux Enterprise Server

Pada SLES, setiap tambalan menyertakan atribut berikut yang menunjukkan properti paket di tambalan:

  • Kategori: Sesuai dengan nilai atribut kunci Klasifikasi di baseline patch PatchFiltertipe data. Menunjukkan jenis patch yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau API operasiDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.

  • Keparahan: Sesuai dengan nilai atribut kunci Keparahan di baseline patch PatchFiltertipe data. Menunjukkan tingkat kepelikan patch.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau API operasiDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.

Produk dari node terkelola ditentukan oleh SSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk di baseline patch PatchFiltertipe data.

Untuk setiap patch, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

catatan

Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

Cara kerja aturan dasar tambalan Ubuntu Server

Pada Ubuntu Server, layanan baseline patch menawarkan pemfilteran pada bidang Prioritas dan Bagian. Bidang ini biasanya hadir untuk semua Ubuntu Server paket. Untuk menentukan apakah tambalan dipilih oleh baseline patch, Patch Manager melakukan hal berikut:

  1. Pada Ubuntu Server sistem, setara dengan sudo apt-get update dijalankan untuk menyegarkan daftar paket yang tersedia. Repo tidak dikonfigurasi dan data ditarik dari repo yang dikonfigurasi dalam daftar sources.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

  3. Selanjutnya, GlobalFilters, ApprovalRules, ApprovedPatches dan RejectedPatchesdaftar diterapkan.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan dengan andal Ubuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. Dalam hal ini, untuk Ubuntu Server, versi kandidat tambalan terbatas pada tambalan yang disertakan dalam repo berikut:

    • Ubuntu Server 14.04LTS: trusty-security

    • Ubuntu Server 16.04LTS: xenial-security

    • Ubuntu Server 18.04LTS: bionic-security

    • Ubuntu Server 20.04LTS: focal-security

    • Ubuntu Server 20.10STR: groovy-security

    • Ubuntu Server 22.04 LTS () jammy-security

    • Ubuntu Server 23.04 () lunar-security

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    catatan

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

Untuk melihat konten bidang Prioritas dan Bagian, jalankan perintah aptitude berikut ini:

catatan

Anda mungkin perlu menginstal Aptitude terlebih dahulu Ubuntu Server 16 sistem.

aptitude search -F '%p %P %s %t %V#' '~U'

Dalam menanggapi perintah ini, semua paket yang dapat dimutakhirkan dilaporkan dalam format ini: 

name, priority, section, archive, candidate version

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.