Funzionamento delle regole delle basi di patch nei sistemi Linux - AWS Systems Manager
Come funzionano le regole di base delle patch su Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 e Amazon Linux 2023Come funzionano le regole di base delle patch su CentOS e CentOS StreamCome funzionano le regole di base delle patch Debian Server e Raspberry Pi OSCome funzionano le regole di base delle patch macOSCome funzionano le regole di base delle patch Oracle LinuxCome funzionano le regole di base delle patch su, AlmaLinux RHELe Rocky LinuxCome funzionano le regole di base delle patch SUSE Linux Enterprise ServerCome funzionano le regole di base delle patch Ubuntu Server

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Funzionamento delle regole delle basi di patch nei sistemi Linux

Le regole di una base di patch nelle distribuzioni Linux operano in modo diverso in base al tipo di distribuzione. A differenza degli aggiornamenti delle patch su Windows Server nodi gestiti, le regole vengono valutate su ogni nodo per prendere in considerazione i repository configurati sull'istanza. Patch Manager, una funzionalità di AWS Systems Manager, utilizza il gestore di pacchetti nativo per guidare l'installazione delle patch approvate dalla patch baseline.

Per i tipi di sistemi operativi basati su Linux che riportano un livello di gravità per le patch, Patch Manager utilizza il livello di gravità riportato dall'editore del software per l'avviso di aggiornamento o la singola patch. Patch Manager non ricava i livelli di gravità da fonti di terze parti, come il Common Vulnerability Scoring System (CVSS), o dalle metriche rilasciate dal National Vulnerability Database (). NVD

Come funzionano le regole di base delle patch su Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 e Amazon Linux 2023

Su Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 e Amazon Linux 2023, il processo di selezione delle patch è il seguente:

  1. Sul nodo gestito, la YUM libreria (Amazon Linux 1 e Amazon Linux 2) o la DNF libreria (Amazon Linux 2022 e Amazon Linux 2023) accede al updateinfo.xml file per ogni repository configurato.

    Nota

    Se non è presente un file updateinfo.xml, l'installazione delle patch dipende dalle impostazioni per Le patch approvate includono aggiornamenti non critici e Approvazione automatica. Ad esempio, se gli aggiornamenti non relativi alla protezione sono consentiti, vengono installati quando arriva l'ora di approvazione automatica.

  2. Ogni avviso di aggiornamento di updateinfo.xml include vari attributi che denotano le proprietà dei pacchetti dell'avviso, come descritto nella seguente tabella.

    Attributi degli avvisi di aggiornamento
    Attributo Descrizione
    tipo

    Corrisponde al valore dell'attributo chiave di classificazione nella baseline della patch PatchFiltertipo di dati. Indica il tipo di pacchetto incluso nell'avviso di aggiornamento.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'APIoperazioneDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    severity

    Corrisponde al valore dell'attributo chiave Severity nella baseline della patch PatchFiltertipo di dati. Indica il tipo di gravità dei pacchetti inclusi nell'avviso di aggiornamento. Generalmente applicabile solo per gli avvisi di aggiornamento Security.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'APIoperazioneDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    update_id

    Indica l'ID consultivo, ad esempio -2017-867. ALAS L'ID consultivo può essere utilizzato in ApprovedPatches o RejectedPatchesattributo nella linea di base della patch.
    riferimenti

    Contiene informazioni aggiuntive sulla notifica di aggiornamento, ad esempio un CVE ID (formato: CVE-2017-1234567). L'ID può essere utilizzato in CVE ApprovedPatches o RejectedPatchesattributo nella linea di base della patch.
    updated

    Corrisponde a ApproveAfterDaysnella linea di base della patch. Indica la data di rilascio (data dell'aggiornamento) dei pacchetti inclusi nell'avviso di aggiornamento. Per stabilire se la patch è approvata per la distribuzione, si effettua un confronto tra il timestamp corrente e il valore di questo attributo più ApproveAfterDays.

    Nota

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi di patch approvati e rifiutati.

  3. Il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo Product key nella linea di base della patch PatchFiltertipo di dati.

  4. La selezione dei pacchetti per l'aggiornamento si basa sulle seguenti linee guida.

    Opzione di sicurezza Selezione di patch

    Baseline di patch predefinite fornite da AWS e baseline di patch personalizzate in cui la casella di controllo Includi aggiornamenti non relativi alla sicurezza non è selezionata

    Per ogni avviso di aggiornamento in updateinfo.xml, la base di patch viene utilizzata come filtro, per includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

    Per Amazon Linux 1 e Amazon Linux 2, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Per Amazon Linux 2022 e Amazon Linux 2023, il comando dfn equivalente per questo flusso di lavoro è:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Linee di base di patch personalizzate in cui è selezionata la casella di controllo Includi aggiornamenti non di sicurezza con un SEVERITY elenco di e un elenco di [Critical, Important] CLASSIFICATION [Security, Bugfix]

    Oltre ad applicare gli aggiornamenti di sicurezza tra cui sono stati selezionati, updateinfo.xml Patch Manager applica aggiornamenti non relativi alla sicurezza che altrimenti soddisfano le regole di filtraggio delle patch.

    Per Amazon Linux e Amazon Linux 2, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update-minimal --security --sec-severity=Critical,Important --bugfix -y

    Per Amazon Linux 2022 e Amazon Linux 2023, il comando dfn equivalente per questo flusso di lavoro è:

    sudo dnf upgrade-minimal --security --sec-severity=Critical --sec-severity=Important --bugfix -y

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Come funzionano le regole di base delle patch su CentOS e CentOS Stream

CentOS e CentOS Stream i repository predefiniti non includono alcun file. updateinfo.xml Tuttavia, i repository personalizzati creati o utilizzati potrebbero includere questo file. In questo argomento, i riferimenti devono essere updateinfo.xml applicati solo a questi repository personalizzati.

Su CentOS e CentOS Stream, il processo di selezione delle patch è il seguente:

  1. Sul nodo gestito, la YUM libreria (nelle versioni CentOS 6.x e 7.x) o la libreria DNF (su CentOS 8.x e CentOS Stream) accede al updateinfo.xml file, se esiste in un repository personalizzato, per ogni repository configurato.

    Se non viene updateinfo.xml trovato alcun file, che include sempre i repository predefiniti, l'installazione delle patch dipende dalle impostazioni per Includi aggiornamenti non relativi alla sicurezza e Approvazione automatica. Ad esempio, se gli aggiornamenti non relativi alla protezione sono consentiti, vengono installati quando arriva l'ora di approvazione automatica.

  2. Se updateinfo.xml presente, ogni avviso di aggiornamento nel file include diversi attributi che denotano le proprietà dei pacchetti contenuti nell'avviso, come descritto nella tabella seguente.

    Attributi degli avvisi di aggiornamento
    Attributo Descrizione
    tipo

    Corrisponde al valore dell'attributo chiave di classificazione nella baseline della patch PatchFiltertipo di dati. Indica il tipo di pacchetto incluso nell'avviso di aggiornamento.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'APIoperazioneDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    severity

    Corrisponde al valore dell'attributo chiave Severity nella baseline della patch PatchFiltertipo di dati. Indica il tipo di gravità dei pacchetti inclusi nell'avviso di aggiornamento. Generalmente applicabile solo per gli avvisi di aggiornamento Security.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'APIoperazioneDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    update_id

    Indica l'ID dell'avviso, ad esempio -2019-17055. CVE L'ID consultivo può essere utilizzato in ApprovedPatches o RejectedPatchesattributo nella linea di base della patch.
    riferimenti

    Contiene informazioni aggiuntive sulla notifica di aggiornamento, come un CVE ID (formato: CVE-2019-17055) o un ID Bugzilla (formato: 1463241). L'CVEID e l'ID Bugzilla possono essere utilizzati in ApprovedPatches o RejectedPatchesattributo nella linea di base della patch.
    updated

    Corrisponde a ApproveAfterDaysnella linea di base della patch. Indica la data di rilascio (data dell'aggiornamento) dei pacchetti inclusi nell'avviso di aggiornamento. Per stabilire se la patch è approvata per la distribuzione, si effettua un confronto tra il timestamp corrente e il valore di questo attributo più ApproveAfterDays.
    Nota

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi di patch approvati e rifiutati.

  3. In tutti i casi, il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo Product key nella linea di base della patch PatchFiltertipo di dati.

  4. La selezione dei pacchetti per l'aggiornamento si basa sulle seguenti linee guida.

    Opzione di sicurezza Selezione di patch

    Baseline di patch predefinite fornite da AWS e baseline di patch personalizzate in cui la casella di controllo Includi aggiornamenti non relativi alla sicurezza non è selezionata

    Per ogni notifica di aggiornamentoupdateinfo.xml, se presente in un repository personalizzato, la patch baseline viene utilizzata come filtro, in modo da includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

    Per CentOS 6 e 7 dove updateinfo.xml è presente, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Per CentOS 8 e CentOS Stream dove updateinfo.xml è presente, il comando dnf equivalente per questo flusso di lavoro è:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Linee di base di patch personalizzate in cui è selezionata la casella di controllo Includi aggiornamenti non di sicurezza con un SEVERITY elenco di e un elenco di [Critical, Important] CLASSIFICATION [Security, Bugfix]

    Oltre ad applicare gli aggiornamenti di sicurezza tra cui sono stati selezionatiupdateinfo.xml, se presenti in un repository personalizzato, Patch Manager applica aggiornamenti non relativi alla sicurezza che altrimenti soddisfano le regole di filtraggio delle patch.

    Per CentOS 6 e 7 dove updateinfo.xml è presente, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update --sec-severity=Critical,Important --bugfix -y

    Per CentOS 8 e CentOS Stream dove updateinfo.xml è presente, il comando dnf equivalente per questo flusso di lavoro è:

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y

    Per i repository predefiniti e i repository personalizzati senzaupdateinfo.xml, è necessario selezionare la casella di controllo Includi aggiornamenti non di sicurezza per aggiornare i pacchetti del sistema operativo (OS).

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Come funzionano le regole di base delle patch Debian Server e Raspberry Pi OS

Abilitato Debian Server e Raspberry Pi OS (precedentemente Raspbian), il servizio di base delle patch offre il filtraggio sui campi Priorità e Sezione. Questi campi sono in genere presenti per tutti Debian Server e Raspberry Pi OS pacchetti. Per determinare se una patch è selezionata dalla linea di base della patch, Patch Manager fa quanto segue:

  1. Abilitato Debian Server e Raspberry Pi OS systems, l'equivalente di sudo apt-get update è run per aggiornare l'elenco dei pacchetti disponibili. I repo non vengono configurati e i dati vengono estratti dai repo configurati in un elenco sources.

  2. Se è disponibile un aggiornamento per python3-apt (un'interfaccia di libreria Python perlibapt), viene aggiornato alla versione più recente. (Questo pacchetto non correlato alla sicurezza viene aggiornato anche se non è stata selezionata l'opzione Includi aggiornamenti non correlati alla protezione).

    Importante

    Abilitato Debian Server solo 8: Perché Debian Server 8.* i sistemi operativi si riferiscono a un archivio di pacchetti obsoleto (), jessie-backports Patch Manager esegue i seguenti passaggi aggiuntivi per garantire che le operazioni di patching abbiano esito positivo:

    1. Sul tuo nodo gestito, il riferimento al jessie-backports repository viene commentato dall'elenco dei percorsi di origine (/etc/apt/sources.list.d/jessie-backports). Di conseguenza, non viene effettuato alcun tentativo di scaricare patch da tale posizione.

    2. Viene importata una chiave di firma dell'aggiornamento di protezione Stretch. Questa chiave fornisce le autorizzazioni necessarie per le operazioni di aggiornamento e installazione su Debian Server 8.* distribuzioni.

    3. A questo punto, viene eseguita l'operazione apt-get per assicurare che l'ultima versione di python3-apt sia installata prima dell'inizio del processo di applicazione delle patch.

    4. Al termine del processo di installazione, il riferimento al repository jessie-backports viene ripristinato e la chiave di firma viene rimossa dal keyring delle sorgenti APT. Questa operazione viene eseguita per lasciare la configurazione del sistema com'era prima dell'operazione di applicazione di patch.

  3. Successivamente, il GlobalFilters, ApprovalRules, ApprovedPatches e RejectedPatchesvengono applicate le liste.

    Nota

    Perché non è possibile determinare in modo affidabile le date di rilascio dei pacchetti di aggiornamento per Debian Server, le opzioni di approvazione automatica non sono supportate per questo sistema operativo.

    Le norme di approvazione, tuttavia, sono anche soggette al fatto che la casella di spunta Includi aggiornamenti non correlati alla protezione è stata selezionata durante la creazione o l'ultimo aggiornamento di una base di patch.

    Se sono esclusi aggiornamenti non di sicurezza, viene applicata una regola implicita per selezionare solo i pacchetti con gli aggiornamenti nei repo di sicurezza. Per ciascun pacchetto, la versione candidata (in genere, quella più recente) deve fare parte di un repo di sicurezza. In questo caso, per Debian Server, le versioni patch candidate sono limitate alle patch incluse nei seguenti repository:

    Questi repository sono denominati come segue:

    • Debian Server 8: debian-security jessie

    • Debian Server e Raspberry Pi OS 9: debian-security stretch

    • Debian Server 10: debian-security buster

    • Debian Server 11: debian-security bullseye

    • Debian Server 12: debian-security bookworm

    Se sono inclusi aggiornamenti non correlati alla protezione, vengono prese in considerazione anche le patch di altri repository.

    Nota

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi di patch approvati e rifiutati.

Per visualizzare i contenuti dei campi Priority (Priorità) e Section (Sezione), eseguire il seguente comando aptitude:

Nota

Potrebbe essere necessario prima installare Aptitude su Debian Server sistemi.

aptitude search -F '%p %P %s %t %V#' '~U'

Nella risposta a questo comando, tutti i pacchetti aggiornabili vengono specificati in questo formato: 

name, priority, section, archive, candidate version

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Come funzionano le regole di base delle patch macOS

Abilitato macOS, il processo di selezione delle patch è il seguente:

  1. Nel nodo gestito, Patch Manager accede al contenuto analizzato del InstallHistory.plist file e identifica i nomi e le versioni dei pacchetti.

    Per i dettagli sul processo di analisi, consulta il macOSinserire una scheda. Come vengono installate le patch

  2. Il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo Product key nella linea di base della patch PatchFiltertipo di dati.

  3. La selezione dei pacchetti per l'aggiornamento si basa sulle seguenti linee guida.

    Opzione di sicurezza Selezione di patch

    Baseline di patch predefinite fornite da AWS e baseline di patch personalizzate in cui la casella di controllo Includi aggiornamenti non relativi alla sicurezza non è selezionata

    Per ogni aggiornamento di pacchetto disponibile, la base di patch viene utilizzata come filtro, per includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

    Baseline di patch personalizzate in cui è selezionata la casella di controllo Includi aggiornamenti non di sicurezza

    Oltre ad applicare gli aggiornamenti di sicurezza individuati utilizzando InstallHistory.plist , Patch Manager applica gli aggiornamenti non correlati alla sicurezza che soddisfano in altro modo le regole di filtraggio delle patch.

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Come funzionano le regole di base delle patch Oracle Linux

Abilitato Oracle Linux, il processo di selezione delle patch è il seguente:

  1. Nel nodo gestito, la YUM libreria accede al updateinfo.xml file per ogni repository configurato.

    Nota

    Il updateinfo.xml file potrebbe non essere disponibile se il repository non è gestito da Oracle. Se non viene updateinfo.xml trovato alcun risultato, l'installazione delle patch dipende dalle impostazioni per Includi aggiornamenti non relativi alla sicurezza e Approvazione automatica. Ad esempio, se gli aggiornamenti non relativi alla protezione sono consentiti, vengono installati quando arriva l'ora di approvazione automatica.

  2. Ogni avviso di aggiornamento di updateinfo.xml include vari attributi che denotano le proprietà dei pacchetti dell'avviso, come descritto nella seguente tabella.

    Attributi degli avvisi di aggiornamento
    Attributo Descrizione
    tipo

    Corrisponde al valore dell'attributo chiave di classificazione nella baseline della patch PatchFiltertipo di dati. Indica il tipo di pacchetto incluso nell'avviso di aggiornamento.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'APIoperazioneDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    severity

    Corrisponde al valore dell'attributo chiave Severity nella baseline della patch PatchFiltertipo di dati. Indica il tipo di gravità dei pacchetti inclusi nell'avviso di aggiornamento. Generalmente applicabile solo per gli avvisi di aggiornamento Security.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'APIoperazioneDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    update_id

    Indica l'ID dell'avviso, ad esempio -2019-17055. CVE L'ID consultivo può essere utilizzato in ApprovedPatches o RejectedPatchesattributo nella linea di base della patch.
    riferimenti

    Contiene informazioni aggiuntive sulla notifica di aggiornamento, come un CVE ID (formato: CVE-2019-17055) o un ID Bugzilla (formato: 1463241). L'CVEID e l'ID Bugzilla possono essere utilizzati in ApprovedPatches o RejectedPatchesattributo nella linea di base della patch.
    updated

    Corrisponde a ApproveAfterDaysnella linea di base della patch. Indica la data di rilascio (data dell'aggiornamento) dei pacchetti inclusi nell'avviso di aggiornamento. Per stabilire se la patch è approvata per la distribuzione, si effettua un confronto tra il timestamp corrente e il valore di questo attributo più ApproveAfterDays.
    Nota

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi di patch approvati e rifiutati.

  3. Il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo Product key nella linea di base della patch PatchFiltertipo di dati.

  4. La selezione dei pacchetti per l'aggiornamento si basa sulle seguenti linee guida.

    Opzione di sicurezza Selezione di patch

    Baseline di patch predefinite fornite da AWS e baseline di patch personalizzate in cui la casella di controllo Includi aggiornamenti non relativi alla sicurezza non è selezionata

    Per ogni avviso di aggiornamento in updateinfo.xml, la base di patch viene utilizzata come filtro, per includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

    Per i nodi gestiti della versione 7, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    Per i nodi gestiti della versione 8 e 9, il comando dnf equivalente per questo flusso di lavoro è:

    sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

    Baseline di patch personalizzate in cui è selezionata la casella di controllo Includi aggiornamenti non di sicurezza con un elenco di e un elenco di SEVERITY [Critical, Important] CLASSIFICATION [Security, Bugfix]

    Oltre ad applicare gli aggiornamenti di sicurezza tra cui sono stati selezionati, updateinfo.xml Patch Manager applica aggiornamenti non relativi alla sicurezza che altrimenti soddisfano le regole di filtraggio delle patch.

    Per i nodi gestiti della versione 7, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Per i nodi gestiti della versione 8 e 9, il comando dnf equivalente per questo flusso di lavoro è: 

    sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Come funzionano le regole di base delle patch su, AlmaLinux RHELe Rocky Linux

Su, AlmaLinux Red Hat Enterprise Linux (RHEL), e Rocky Linux, il processo di selezione delle patch è il seguente:

  1. Nel nodo gestito, la YUM libreria (RHEL 7) o la DNF libreria (AlmaLinux 8 e 9, RHEL 8 e 9 e Rocky Linux 8 e 9) accede al updateinfo.xml file per ogni repository configurato.

    Nota

    Il file updateinfo.xml potrebbe non essere disponibile se il repo non è gestito da Red Hat. Se non viene trovato alcun file updateinfo.xml, non verrà applicata nessuna patch.

  2. Ogni avviso di aggiornamento di updateinfo.xml include vari attributi che denotano le proprietà dei pacchetti dell'avviso, come descritto nella seguente tabella.

    Attributi degli avvisi di aggiornamento
    Attributo Descrizione
    tipo

    Corrisponde al valore dell'attributo chiave di classificazione nella baseline della patch PatchFiltertipo di dati. Indica il tipo di pacchetto incluso nell'avviso di aggiornamento.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'APIoperazioneDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    severity

    Corrisponde al valore dell'attributo chiave Severity nella baseline della patch PatchFiltertipo di dati. Indica il tipo di gravità dei pacchetti inclusi nell'avviso di aggiornamento. Generalmente applicabile solo per gli avvisi di aggiornamento Security.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'APIoperazioneDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    update_id

    Indica l'ID dell'avviso, ad esempio - 2017:0864. RHSA L'ID consultivo può essere utilizzato in ApprovedPatches o RejectedPatchesattributo nella linea di base della patch.
    riferimenti

    Contiene informazioni aggiuntive sulla notifica di aggiornamento, come un CVE ID (formato: CVE-2017-1000371) o un ID Bugzilla (formato: 1463241). L'ID e l'ID Bugzilla possono essere utilizzati in CVE ApprovedPatches o RejectedPatchesattributo nella linea di base della patch.
    updated

    Corrisponde a ApproveAfterDaysnella linea di base della patch. Indica la data di rilascio (data dell'aggiornamento) dei pacchetti inclusi nell'avviso di aggiornamento. Per stabilire se la patch è approvata per la distribuzione, si effettua un confronto tra il timestamp corrente e il valore di questo attributo più ApproveAfterDays.
    Nota

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi di patch approvati e rifiutati.

  3. Il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo Product key nella linea di base della patch PatchFiltertipo di dati.

  4. La selezione dei pacchetti per l'aggiornamento si basa sulle seguenti linee guida.

    Opzione di sicurezza Selezione di patch

    Baseline delle patch predefinite fornite da AWS e baseline delle patch personalizzate in cui la casella di controllo Includi aggiornamenti non critici non è selezionata in nessuna regola

    Per ogni avviso di aggiornamento in updateinfo.xml, la base di patch viene utilizzata come filtro, per includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

    In RHEL 7, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Per AlmaLinux 8 e 9, RHEL 8 e 9, e Rocky Linux 8 e 9, il comando dnf equivalente per questo flusso di lavoro è:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Linee di base di patch personalizzate in cui è selezionata la casella di controllo Includi aggiornamenti non di sicurezza con un SEVERITY elenco di e un elenco di [Critical, Important] CLASSIFICATION [Security, Bugfix]

    Oltre ad applicare gli aggiornamenti di sicurezza tra cui sono stati selezionati, updateinfo.xml Patch Manager applica aggiornamenti non relativi alla sicurezza che altrimenti soddisfano le regole di filtraggio delle patch.

    In RHEL 7, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Per AlmaLinux 8 e 9, RHEL 8 e 9, e Rocky Linux 8 e 9, il comando dnf equivalente per questo flusso di lavoro è:

    sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Come funzionano le regole di base delle patch SUSE Linux Enterprise Server

Abilitato SLES, ogni patch include i seguenti attributi che denotano le proprietà dei pacchetti contenuti nella patch:

  • Categoria: corrisponde al valore dell'attributo chiave di classificazione nella baseline della patch PatchFiltertipo di dati. Indica il tipo di patch incluso nell'avviso di aggiornamento.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'APIoperazioneDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.

  • Severità: corrisponde al valore dell'attributo chiave Severity nella baseline della patch PatchFiltertipo di dati. Indica la gravità delle patch.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'APIoperazioneDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.

Il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo Product key nella linea di base della patch PatchFiltertipo di dati.

Per ogni patch, la base di patch viene utilizzata come filtro, per includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

Nota

Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi di patch approvati e rifiutati.

Come funzionano le regole di base delle patch Ubuntu Server

Abilitato Ubuntu Server, il servizio Patch Baseline offre il filtraggio nei campi Priorità e Sezione. Questi campi sono in genere presenti per tutti Ubuntu Server pacchetti. Per determinare se una patch è selezionata dalla linea di base della patch, Patch Manager fa quanto segue:

  1. Abilitato Ubuntu Server systems, l'equivalente di sudo apt-get update è run per aggiornare l'elenco dei pacchetti disponibili. I repo non vengono configurati e i dati vengono estratti dai repo configurati in un elenco sources.

  2. Se è disponibile un aggiornamento per python3-apt (un'interfaccia di libreria Python perlibapt), viene aggiornato alla versione più recente. (Questo pacchetto non correlato alla sicurezza viene aggiornato anche se non è stata selezionata l'opzione Includi aggiornamenti non correlati alla protezione).

  3. Successivamente, il GlobalFilters, ApprovalRules, ApprovedPatches e RejectedPatchesvengono applicate le liste.

    Nota

    Perché non è possibile determinare in modo affidabile le date di rilascio dei pacchetti di aggiornamento per Ubuntu Server, le opzioni di approvazione automatica non sono supportate per questo sistema operativo.

    Le norme di approvazione, tuttavia, sono anche soggette al fatto che la casella di spunta Includi aggiornamenti non correlati alla protezione è stata selezionata durante la creazione o l'ultimo aggiornamento di una base di patch.

    Se sono esclusi aggiornamenti non di sicurezza, viene applicata una regola implicita per selezionare solo i pacchetti con gli aggiornamenti nei repo di sicurezza. Per ciascun pacchetto, la versione candidata (in genere, quella più recente) deve fare parte di un repo di sicurezza. In questo caso, per Ubuntu Server, le versioni patch candidate sono limitate alle patch incluse nei seguenti repository:

    • Ubuntu Server 14.04: LTS trusty-security

    • Ubuntu Server 16,04LTS: xenial-security

    • Ubuntu Server 18,04LTS: bionic-security

    • Ubuntu Server 20,04LTS: focal-security

    • Ubuntu Server 20,10STR: groovy-security

    • Ubuntu Server 22,04 LTS () jammy-security

    • Ubuntu Server 23,04 () lunar-security

    Se sono inclusi aggiornamenti non correlati alla protezione, vengono prese in considerazione anche le patch di altri repository.

    Nota

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi di patch approvati e rifiutati.

Per visualizzare i contenuti dei campi Priority (Priorità) e Section (Sezione), eseguire il seguente comando aptitude:

Nota

Potrebbe essere necessario prima installare Aptitude su Ubuntu Server 16 sistemi.

aptitude search -F '%p %P %s %t %V#' '~U'

Nella risposta a questo comando, tutti i pacchetti aggiornabili vengono specificati in questo formato: 

name, priority, section, archive, candidate version

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.