Creazione di una baseline delle patch personalizzata per Linux - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una baseline delle patch personalizzata per Linux

Utilizzare la procedura seguente per creare una base di patch personalizzata per i nodi gestiti da Linux in Patch Manager, uno strumento in AWS Systems Manager.

Per informazioni sulla creazione di una patch di base per macOS nodi gestiti, vedereCreazione di una linea di base di patch personalizzata per macOS. Per informazioni sulla creazione di una patch di base per i nodi gestiti di Windows, consulta Creazione di una base di patch personalizzata per Windows Server.

Per creare una patch di base personalizzata per i nodi gestiti da Linux

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Patch Manager.

  3. Scegli la scheda Patch di base e quindi Crea patch di base.

    oppure

    Se stai accedendo Patch Manager per la prima volta nella versione corrente Regione AWS, scegli Inizia con una panoramica, scegli la scheda Patch baseline, quindi scegli Crea patch baseline.

  4. Nel campo Nome inserisci il nome della nuova patch di base, ad esempio MyRHELPatchBaseline.

  5. (Facoltativo) Per Descrizione, inserisci una descrizione per questa patch di base.

  6. Per Sistema operativo, scegli un sistema operativo, ad esempio Red Hat Enterprise Linux.

  7. Se desideri iniziare a utilizzare questa patch baseline come predefinita per il sistema operativo selezionato non appena la crei, seleziona la casella accanto a Imposta questa patch baseline come base di patch predefinita per le istanze. operating system name

    Nota

    Questa opzione è disponibile solo se hai effettuato l'accesso per la prima volta Patch Manager prima del rilascio delle politiche sulle patch il 22 dicembre 2022.

    Per informazioni sull'impostazione di una patch di base esistente come predefinita, consulta Impostare una base di patch esistente come predefinita.

  8. Nella sezione Regole di approvazione per sistema operativo utilizza i campi per creare una o più regole di approvazione automatica.

    • Prodotti: la versione del sistema operativo a cui si applica la regola di approvazione, ad esempio RedhatEnterpriseLinux7.4. L'opzione predefinita è All.

    • Classificazione: il tipo di patch a cui si applica la regola di approvazione, ad esempio Security o Enhancement. L'opzione predefinita è All.

      Suggerimento

      È possibile configurare una patch di base per controllare se sono installati aggiornamenti di versione minori per Linux, ad esempio RHEL 7.8. Gli aggiornamenti di versione minori possono essere installati automaticamente da Patch Manager a condizione che l'aggiornamento sia disponibile nell'archivio appropriato.

      Per i sistemi operativi Linux, gli aggiornamenti delle versioni secondari non sono classificati in modo coerente. Possono essere classificati come correzioni di bug o aggiornamenti di sicurezza, o non classificati, anche all'interno della stessa versione del kernel. Ecco alcune opzioni per controllare se una base di patch ne esegue l'installazione.

      • Opzione 1: la regola di approvazione più ampia per garantire l'installazione di aggiornamenti di versioni secondarie quando disponibili consiste nello specificare il campo Classificazione come All (*) e scegliere l'opzione Includi aggiornamenti non relativi alla sicurezza.

      • Opzione 2: per garantire che siano installate patch per una versione del sistema operativo, è possibile utilizzare un carattere jolly (*) per specificare il formato del kernel nella sezione Eccezioni patch della patch di base. Ad esempio, il formato del kernel per RHEL 7.* è. kernel-3.10.0-*.el7.x86_64

        Entra kernel-3.10.0-*.el7.x86_64 nell'elenco delle patch approvate nella linea di base delle patch per assicurarti che tutte le patch, inclusi gli aggiornamenti delle versioni minori, vengano applicate al tuo RHEL 7.* nodi gestiti. (Se conosci il nome esatto del pacchetto di una patch di versione secondaria, è possibile inserirlo quello invece.)

      • Opzione 3: È possibile avere il massimo controllo sulle patch applicate ai nodi gestiti, inclusi gli aggiornamenti delle versioni minori, utilizzando il InstallOverrideListparametro nel documento. AWS-RunPatchBaseline Per ulteriori informazioni, consulta Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaseline.

    • Gravità: il valore di gravità delle patch a cui si applica la regola, ad esempio Critical. L'opzione predefinita è All.

    • Approvazione automatico: il metodo per selezionare le patch per l'approvazione automatica.

      Nota

      Perché non è possibile determinare in modo affidabile le date di rilascio dei pacchetti di aggiornamento per Ubuntu Server, le opzioni di approvazione automatica non sono supportate per questo sistema operativo.

      • Approva le patch dopo un determinato numero di giorni: il numero di giorni per Patch Manager attendere il rilascio o l'ultimo aggiornamento di una patch prima che una patch venga approvata automaticamente. È possibile inserire qualsiasi numero intero da zero (0) a 360. Per la maggior parte degli scenari, consigliamo di attendere non più di 100 giorni.

      • Approva le patch rilasciate fino a una data specifica: la data di rilascio della patch per la quale Patch Manager applica automaticamente tutte le patch rilasciate o aggiornate a partire da tale data. Ad esempio, se specifichi il 7 luglio 2023, nessuna patch rilasciata o aggiornata a partire dall'8 luglio 2023 verrà installata automaticamente.

    • (Facoltativo) Report di conformità: il livello di gravità da assegnare alle patch approvate dalla linea di base, ad esempio Critical o High.

      Nota

      Se specifichi un livello di report di conformità e lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

    • Includi aggiornamenti non relativi alla sicurezza: seleziona la casella per installare le patch del sistema operativo Linux non relative alla sicurezza disponibili nel repository di origine, oltre a quelle relative alla sicurezza.

      Nota

      In SUSE Linux Enterprise Server, (SLES) non è necessario selezionare la casella di controllo perché le patch per problemi di sicurezza e non relativi alla sicurezza vengono installate per impostazione predefinita su SLES nodi gestiti. Per ulteriori informazioni, consulta il contenuto di SLES nella sezione Come vengono selezionate le patch di sicurezza.

    Per ulteriori informazioni sulle operazioni con le regole di approvazione in una patch di base personalizzata, consulta Baseline personalizzate.

  9. Per approvare esplicitamente qualsiasi patch oltre a quelle che soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

    • In Patch approvate, inserisci un elenco separato da virgole delle patch che desideri approvare.

      Nota

      Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

    • (Facoltativo) In Livello di conformità patch approvate, assegna un livello di conformità alle patch dell'elenco.

    • Se qualche patch approvata e specificata non è correlata alla sicurezza, seleziona la casella di controllo Includi aggiornamenti non critici per installare anche queste patch sul sistema operativo Linux.

  10. Per rifiutare esplicitamente qualsiasi patch oltre che comunque soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

    • In Patch rifiutate, inserisci un elenco separato da virgole delle patch che desideri rifiutare.

      Nota

      Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

    • Per l'azione Rejected patch, seleziona l'azione per Patch Manager per eseguire le patch incluse nell'elenco delle patch rifiutate.

      • Consenti come dipendenza: un pacchetto dell'elenco Patch rifiutate viene installato solo se è incluso automaticamente in un altro pacchetto. È considerata conforme alla linea di base delle patch e il suo stato è riportato come. InstalledOther Si tratta dell'operazione predefinita se non viene specificata alcuna opzione.

      • Blocco: i pacchetti nell'elenco delle patch rifiutate e i pacchetti che li includono come dipendenze non vengono installati da Patch Manager in qualsiasi circostanza. Se un pacchetto è stato installato prima di essere aggiunto all'elenco delle patch rifiutate o è installato al di fuori di Patch Manager in seguito, viene considerato non conforme alla linea di base della patch e il suo stato viene riportato come. InstalledRejected

    Nota

    Patch Manager cerca le dipendenze delle patch in modo ricorsivo.

  11. (Facoltativo) Se desideri specificare repository di patch alternativi per diverse versioni di un sistema operativo, ad esempio AmazonLinux2016.03 e AmazonLinux2017.09, procedi come segue per ogni prodotto nella sezione Sorgenti delle patch:

    • In Nome, inserisci un nome per semplificare l'identificazione della configurazione di origine.

    • In Prodotto, seleziona la versione dei sistemi operativi a cui è destinato il repository di origine delle patch, ad esempio RedhatEnterpriseLinux7.4.

    • In Configuration (Configurazione), immettere il valore della configurazione del repository yum da utilizzare nel seguente formato:

      [main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
      Suggerimento

      Per informazioni sulle altre opzioni disponibili per la configurazione del repository yum, consulta dnf.conf(5).

      Sceglie Aggiungi un'altra origine per specificare un repository di origine per ciascuna versione aggiuntiva del sistema operativo, fino a un massimo di 20.

      Per ulteriori informazioni sui repository di patch di origine alternativi, consulta Come specificare un repository alternativo di origine delle patch (Linux).

  12. (Facoltativo) In Gestisci tag, applica una o più coppie valore-nome di chiave di tag alla patch di base.

    I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare tag a una patch di base per identificare il livello di gravità delle patch che specifica, la famiglia del sistema operativo a cui si applica e il tipo di ambiente. In questo caso è possibile specificare tag simili alle coppie valore-nome di chiave seguenti:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. Scegli Crea una base di patch.