Cara pemilihan patch keamanan - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara pemilihan patch keamanan

Fokus utama dari Patch Manager, kemampuan AWS Systems Manager, adalah menginstal pembaruan terkait keamanan sistem operasi pada node yang dikelola. Secara default, Patch Manager tidak menginstal semua tambalan yang tersedia, melainkan serangkaian tambalan yang lebih kecil yang berfokus pada keamanan.

Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager menggunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau tambalan individual. Patch Manager tidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti Common Vulnerability Scoring System (CVSS), atau dari metrik yang dirilis oleh National Vulnerability Database (). NVD

catatan

Pada semua sistem berbasis Linux yang didukung oleh Patch Manager, Anda dapat memilih repositori sumber berbeda yang dikonfigurasi untuk node terkelola, biasanya untuk menginstal pembaruan nonsecurity. Untuk informasi, lihat Cara menentukan repositori sumber patch alternatif (Linux).

Pilih dari tab berikut untuk mempelajari caranya Patch Manager memilih patch keamanan untuk sistem operasi Anda.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

Repositori yang telah dikonfigurasi sebelumnya ditangani secara berbeda di Amazon Linux 1 dan Amazon Linux 2 daripada di Amazon Linux 2022 dan Amazon Linux 2023.

Di Amazon Linux 1 dan Amazon Linux 2, layanan baseline patch Systems Manager menggunakan repositori yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repositori (repo) yang telah dikonfigurasi sebelumnya pada sebuah node:

Di Amazon Linux 1

  • ID repo: amzn-main/latest

    Nama repo: amzn-main-Base

  • ID repo: amzn-updates/latest

    Nama repo: amzn-updates-Base

Di Amazon Linux 2

  • ID repo: amzn2-core/2/architecture

    Nama repo: Amazon Linux 2 core repository

  • ID repo: amzn2extra-docker/2/architecture

    Nama repo: Amazon Extras repo for docker

catatan

architecture bisa x86_64 atau aarch64.

Instans Amazon Linux 2023 (AL2023) awalnya berisi pembaruan yang tersedia dalam versi AL2 023 dan yang dipilih AMI. Secara default, instans AL2 023 Anda tidak secara otomatis menerima pembaruan keamanan penting dan penting tambahan saat diluncurkan. Sebagai gantinya, dengan peningkatan deterministik melalui fitur repositori berversi di AL2 023, yang diaktifkan secara default, Anda dapat menerapkan pembaruan berdasarkan jadwal yang memenuhi kebutuhan spesifik Anda. Untuk informasi selengkapnya, lihat Peningkatan deterministik melalui repositori berversi di Panduan Pengguna Amazon Linux 2023.

Di Amazon Linux 2022, repositori yang telah dikonfigurasi sebelumnya terkait dengan versi pembaruan paket yang terkunci. Saat baru Amazon Machine Images (AMIs) untuk Amazon Linux 2022 dirilis, mereka dikunci ke versi tertentu. Untuk pembaruan tambalan, Patch Manager mengambil versi terkunci terbaru dari repositori pembaruan tambalan dan kemudian memperbarui paket pada node terkelola berdasarkan konten versi terkunci itu.

Pada AL2 023, repositori yang telah dikonfigurasi adalah sebagai berikut:

  • ID repo: amazonlinux

    Nama repo: repositori Amazon Linux 2023

Di Amazon Linux 2022 (rilis pratinjau), repositori yang telah dikonfigurasi sebelumnya terkait dengan versi pembaruan paket yang terkunci. Saat baru Amazon Machine Images (AMIs) untuk Amazon Linux 2022 dirilis, mereka dikunci ke versi tertentu. Untuk pembaruan tambalan, Patch Manager mengambil versi terkunci terbaru dari repositori pembaruan tambalan dan kemudian memperbarui paket pada node terkelola berdasarkan konten versi terkunci itu.

Di Amazon Linux 2022, repositori yang telah dikonfigurasi sebelumnya adalah sebagai berikut:

  • ID repo: amazonlinux

    Nama repo: repositori Amazon Linux 2022

catatan

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

Node terkelola Amazon Linux 1 dan Amazon Linux 2 menggunakan Yum sebagai manajer paket. Amazon Linux 2022 dan Amazon Linux 2023 digunakan DNF sebagai manajer paket.

Kedua manajer paket menggunakan konsep pemberitahuan pembaruan sebagai file bernamaupdateinfo.xml. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Semua paket yang ada dalam pemberitahuan pembaruan dianggap Keamanan oleh Patch Manager. Paket individual tidak diberi klasifikasi atau tingkat keparahan. Untuk alasan ini, Patch Manager menetapkan atribut pemberitahuan pembaruan ke paket terkait.

catatan

Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam updateinfo.xml file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

CentOS and CentOS Stream

Di CentOS dan CentOS Stream, layanan dasar patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Daftar berikut memberikan contoh untuk CentOS 8.2 fiktif Amazon Machine Image (AMI):

  • ID repo: example-centos-8.2-base

    Nama repo: Example CentOS-8.2 - Base

  • ID repo: example-centos-8.2-extras

    Nama repo: Example CentOS-8.2 - Extras

  • ID repo: example-centos-8.2-updates

    Nama repo: Example CentOS-8.2 - Updates

  • ID repo: example-centos-8.x-examplerepo

    Nama repo: Example CentOS-8.x – Example Repo Packages

catatan

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

CentOS 6 dan 7 node yang dikelola menggunakan Yum sebagai manajer paket. CentOS 8 dan CentOS Stream node digunakan DNF sebagai manajer paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu.

Namun, CentOS dan CentOS Stream repo default tidak dikonfigurasi dengan pemberitahuan pembaruan. Ini berarti bahwa Patch Manager tidak mendeteksi paket pada CentOS default dan CentOS Stream repo. Untuk memungkinkan Patch Manager untuk memproses paket yang tidak terkandung dalam pemberitahuan pembaruan, Anda harus mengaktifkan EnableNonSecurity bendera di aturan dasar tambalan.

catatan

CentOS dan CentOS Stream pemberitahuan pembaruan didukung. Repo dengan pemberitahuan pembaruan dapat diunduh setelah peluncuran.

Debian Server and Raspberry Pi OS

Pada Debian Server and Raspberry Pi OS (sebelumnya Raspbian), layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada instance. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara sudo apt-get update.

Paket kemudian di-filter dari repo debian-security codename. Ini berarti bahwa pada setiap versi Debian Server, Patch Manager hanya mengidentifikasi peningkatan yang merupakan bagian dari repo terkait untuk versi tersebut, sebagai berikut:

  • Debian Server 8: debian-security jessie

  • Debian Server 9: debian-security stretch

  • Debian Server 10: debian-security buster

  • Debian Server 11: debian-security bullseye

  • Debian Server 12: debian-security bookworm

catatan

Pada Debian Server 8 saja: Karena beberapa Debian Server 8.* node terkelola merujuk ke repositori paket usang (), jessie-backports Patch Manager melakukan langkah-langkah tambahan untuk memastikan bahwa operasi patching berhasil. Untuk informasi selengkapnya, lihat Cara menginstal patch.

Oracle Linux

Pada Oracle Linux, layanan dasar patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repo yang telah dikonfigurasi sebelumnya pada sebuah node.

Oracle Linux 7:

  • ID repo: ol7_UEKR5/x86_64

    Nama repo: Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

  • ID repo: ol7_latest/x86_64

    Nama repo: Oracle Linux 7Server Latest (x86_64)

Oracle Linux 8:

  • ID repo: ol8_baseos_latest

    Nama repo: Oracle Linux 8 BaseOS Latest (x86_64)

  • ID repo: ol8_appstream

    Nama repo: Oracle Linux 8 Application Stream (x86_64)

  • ID repo: ol8_UEKR6

    Nama repo: Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

Oracle Linux 9:

  • ID repo: ol9_baseos_latest

    Nama repo: Oracle Linux 9 BaseOS Latest (x86_64)

  • ID repo: ol9_appstream

    Nama repo: Oracle Linux 9 Application Stream Packages(x86_64)

  • ID repo: ol9_UEKR7

    Nama repo: Oracle Linux UEK Release 7 (x86_64)

catatan

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

Oracle Linux node terkelola menggunakan Yum sebagai manajer paket, dan Yum menggunakan konsep pemberitahuan pembaruan sebagai file bernama. updateinfo.xml Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager menetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.

catatan

Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam updateinfo.xml file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

AlmaLinux, RHEL, and Rocky Linux

Pada AlmaLinux, Red Hat Enterprise Linux, dan Rocky Linux layanan dasar patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node yang dikelola. Biasanya ada tiga repo yang telah dikonfigurasi sebelumnya pada sebuah node.

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

catatan

Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam updateinfo.xml file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

Red Hat Enterprise Linux 7 node terkelola menggunakan Yum sebagai manajer paket. AlmaLinux, Red Hat Enterprise Linux 8, dan Rocky Linux node terkelola digunakan DNF sebagai manajer paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan sebagai file bernama updateinfo.xml. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager menetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.

RHEL 7
catatan

Repo berikut IDs dikaitkan dengan RHUI 2. RHUI3 diluncurkan pada Desember 2019 dan memperkenalkan skema penamaan yang berbeda untuk IDs repositori Yum. Tergantung pada RHEL -7 AMI Anda membuat node terkelola dari, Anda mungkin perlu memperbarui perintah Anda. Untuk informasi selengkapnya, lihat Repositori IDs untuk RHEL 7 in AWS Telah Berubah di Portal Pelanggan Red Hat.

  • ID repo: rhui-REGION-client-config-server-7/x86_64

    Nama repo: Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • ID repo: rhui-REGION-rhel-server-releases/7Server/x86_64

    Nama repo: Red Hat Enterprise Linux Server 7 (RPMs)

  • ID repo: rhui-REGION-rhel-server-rh-common/7Server/x86_64

    Nama repo: Red Hat Enterprise Linux Server 7 RH Common (RPMs)

AlmaLinux, 8 RHEL 8, dan Rocky Linux 8

  • ID repo: rhel-8-appstream-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

  • ID repo: rhel-8-baseos-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

  • ID repo: rhui-client-config-server-8

    Nama repo: Red Hat Update Infrastructure 3 Client Configuration Server 8

AlmaLinux 9, RHEL 9, dan Rocky Linux 9

  • ID repo: rhel-9-appstream-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)

  • ID repo: rhel-9-baseos-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)

  • ID repo: rhui-client-config-server-9

    Nama repo: Red Hat Enterprise Linux 9 Client Configuration

SLES

Pada SUSE Linux Enterprise Server (SLES) node terkelola, ZYPP perpustakaan mendapatkan daftar tambalan yang tersedia (kumpulan paket) dari lokasi berikut:

  • Daftar repositori: etc/zypp/repos.d/*

  • Informasi paket: /var/cache/zypp/raw/*

SLES node terkelola menggunakan Zypper sebagai manajer paket, dan Zypper menggunakan konsep tambalan. patch hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Patch Manager menangani semua paket yang direferensikan dalam tambalan sebagai terkait keamanan. Karena paket individual tidak diberikan klasifikasi atau tingkat keparahan, Patch Manager menetapkan paket atribut tambalan yang menjadi miliknya.

Ubuntu Server

Pada Ubuntu Server, layanan dasar patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara sudo apt-get update.

Paket kemudian difilter dari codename-security repo, di mana nama kode unik untuk versi rilis, seperti untuk trusty Ubuntu Server 14. Patch Manager hanya mengidentifikasi peningkatan yang merupakan bagian dari repo ini:

  • Ubuntu Server 14.04LTS: trusty-security

  • Ubuntu Server 16.04LTS: xenial-security

  • Ubuntu Server 18.04LTS: bionic-security

  • Ubuntu Server 20.04LTS: focal-security

  • Ubuntu Server 20.10STR: groovy-security

  • Ubuntu Server 22.04 LTS () jammy-security

  • Ubuntu Server 23.04 () lunar-security

Windows Server

Pada sistem operasi Microsoft Windows, Patch Manager mengambil daftar pembaruan yang tersedia yang dipublikasikan Microsoft ke Microsoft Update dan secara otomatis tersedia untuk Windows Server Update Services ()WSUS.

catatan

Patch Manager hanya membuat tambalan yang tersedia untuk Windows Server versi sistem operasi yang didukung untuk Patch Manager. Sebagai contoh, Patch Manager tidak dapat digunakan untuk menambal Windows RT.

Patch Manager terus memantau pembaruan baru di setiap Wilayah AWS. Daftar pembaruan yang tersedia disegarkan di setiap Region setidaknya sekali per hari. Ketika informasi patch dari Microsoft diproses, Patch Manager menghapus pembaruan yang digantikan oleh pembaruan selanjutnya dari daftar tambalannya. Oleh karena itu, hanya pembaruan terbaru yang ditampilkan dan tersedia untuk instalasi. Misalnya, jika KB4012214 menggantikanKB3135456, hanya KB4012214 tersedia sebagai pembaruan di Patch Manager.

Demikian pula, Patch Manager hanya dapat menginstal tambalan yang tersedia di node terkelola selama operasi penambalan. Secara default, Windows Server 2019 dan Windows Server 2022 hapus pembaruan yang digantikan oleh pembaruan selanjutnya. Akibatnya, jika Anda menggunakan ApproveUntilDate parameter dalam a Windows Server patch baseline, tetapi tanggal yang dipilih dalam ApproveUntilDate parameter adalah sebelum tanggal patch terbaru, maka skenario berikut terjadi:

  • Patch yang digantikan dihapus dari node dan oleh karena itu tidak dapat diinstal menggunakan Patch Manager.

  • Patch pengganti terbaru ada di node tetapi belum disetujui untuk instalasi sesuai tanggal yang ditentukan ApproveUntilDate parameter.

Ini berarti bahwa node terkelola sesuai dalam hal operasi Systems Manager, meskipun patch kritis dari bulan sebelumnya mungkin tidak diinstal. Skenario yang sama ini dapat terjadi saat menggunakan ApproveAfterDays parameter. Karena perilaku patch yang digantikan Microsoft, dimungkinkan untuk menetapkan angka (umumnya lebih besar dari 30 hari) sehingga tambalan untuk Windows Server tidak pernah diinstal jika patch terbaru yang tersedia dari Microsoft dirilis sebelum jumlah hari ApproveAfterDays telah berlalu. Perhatikan bahwa perilaku sistem ini tidak berlaku jika Anda telah memodifikasi pengaturan Windows Group Policy Object (GPO) untuk membuat patch yang diganti tersedia di node terkelola Anda.

catatan

Dalam beberapa kasus, Microsoft merilis patch untuk aplikasi yang tidak menentukan tanggal dan waktu yang diperbarui. Dalam kasus ini, tanggal dan waktu yang diperbarui 01/01/1970 disediakan secara default.