Come vengono selezionate le patch di sicurezza

Gli archivi preconfigurati vengono gestiti in modo diverso su Amazon Linux 1 e Amazon Linux 2 rispetto a Amazon Linux 2022 e Amazon Linux 2023.

Su Amazon Linux 1 e Amazon Linux 2, il servizio di base delle patch di Systems Manager utilizza repository preconfigurati sul nodo gestito. In genere in un nodo sono disponibili due repository (repo) preconfigurati:

Le istanze di Amazon Linux 2023 (AL2023) inizialmente contengono gli aggiornamenti disponibili nella versione AL2 023 e nella versione scelta AMI. Per impostazione predefinita, l'istanza AL2 023 non riceve automaticamente aggiornamenti di sicurezza critici e importanti aggiuntivi al momento del lancio. Invece, con la funzionalità di aggiornamento deterministico tramite repository con versione di AL2 023, che è attivata per impostazione predefinita, puoi applicare gli aggiornamenti in base a una pianificazione che soddisfa le tue esigenze specifiche. Per ulteriori informazioni, consulta Utilizzo di aggiornamenti deterministici tramite repository con versioni di AL2023 nella Guida per l'utente di Amazon Linux 2023.

Su Amazon Linux 2022, i repository preconfigurati sono legati a versioni bloccate degli aggiornamenti dei pacchetti. Quando è nuovo Amazon Machine Images (AMIs) per Amazon Linux 2022 sono rilasciati, sono bloccati su una versione specifica. Per gli aggiornamenti delle patch, Patch Manager recupera l'ultima versione bloccata dell'archivio degli aggiornamenti delle patch e quindi aggiorna i pacchetti sul nodo gestito in base al contenuto di quella versione bloccata.

In AL2 023, l'archivio preconfigurato è il seguente:

Su Amazon Linux 2022 (release precedente), i repository preconfigurati sono legati a versioni bloccate degli aggiornamenti dei pacchetti. Quando è nuovo Amazon Machine Images (AMIs) per Amazon Linux 2022 sono rilasciati, sono bloccati su una versione specifica. Per gli aggiornamenti delle patch, Patch Manager recupera l'ultima versione bloccata dell'archivio degli aggiornamenti delle patch e quindi aggiorna i pacchetti sul nodo gestito in base al contenuto di quella versione bloccata.

Su Amazon Linux 2022, il repository preconfigurato è il seguente:

I nodi gestiti di Amazon Linux 1 e Amazon Linux 2 utilizzano Yum come gestore di pacchetti. Amazon Linux 2022 e Amazon Linux 2023 utilizzano DNF come gestore di pacchetti.

Entrambi i gestori di pacchetti utilizzano il concetto di avviso di aggiornamento come un file denominato updateinfo.xml. Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici. Tutti i pacchetti contenuti in un avviso di aggiornamento sono considerati di sicurezza da Patch Manager. Ai singoli pacchetti non vengono assegnate classificazioni o livelli di gravità. Per questo motivo, Patch Manager assegna gli attributi di un avviso di aggiornamento ai pacchetti correlati.

Su CentOS e CentOS Stream, il servizio di base delle patch di Systems Manager utilizza repository preconfigurati (repository) sul nodo gestito. L'elenco seguente fornisce esempi per un CentOS 8.2 fittizio Amazon Machine Image (AMI):

I nodi gestiti 6 e 7 usano Yum come gestore di pacchetti. CentOS 8 e CentOS Stream i nodi vengono utilizzati DNF come gestore di pacchetti. Entrambi i gestori di pacchetti utilizzano il concetto di avviso di aggiornamento. Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici.

Tuttavia, CentOS e CentOS Stream i repository predefiniti non sono configurati con un avviso di aggiornamento. Ciò significa che Patch Manager non rileva i pacchetti su CentOS predefinito e CentOS Stream repository. Consentire Patch Manager per elaborare pacchetti che non sono contenuti in un avviso di aggiornamento, è necessario attivare il EnableNonSecurity flag nelle regole di base della patch.

Abilitato Debian Server e Raspberry Pi OS (precedentemente Raspbian), il servizio di base delle patch di Systems Manager utilizza repository preconfigurati (repository) sull'istanza. Questi repo preconfigurati vengono utilizzati per estrarre un elenco aggiornato degli aggiornamenti dei pacchetti disponibili. A tale scopo, Systems Manager esegue l'equivalente di un comando sudo apt-get update.

I pacchetti vengono quindi filtrati da repo debian-security codename. Ciò significa che in ogni versione di Debian Server, Patch Manager identifica solo gli aggiornamenti che fanno parte del repository associato per quella versione, come segue:

Abilitato Oracle Linux, il servizio di base delle patch di Systems Manager utilizza repository preconfigurati (repository) sul nodo gestito. In genere in un nodo sono disponibili due repo preconfigurati:

Oracle Linux 7:

Oracle Linux 8:

Oracle Linux 9:

Oracle Linux i nodi gestiti utilizzano Yum come gestore di pacchetti e Yum utilizza il concetto di avviso di aggiornamento come nome di file. updateinfo.xml Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici. Ai singoli pacchetti non vengono assegnati classificazioni o livelli di gravità. Per questo motivo, Patch Manager assegna gli attributi di una notifica di aggiornamento ai pacchetti correlati e installa i pacchetti in base ai filtri di classificazione specificati nella linea di base della patch.

Sì, AlmaLinux Red Hat Enterprise Linuxe Rocky Linux il servizio di base delle patch di Systems Manager utilizza repository preconfigurati (repository) sul nodo gestito. In genere in un nodo sono disponibili tre repo preconfigurati:

Tutti gli aggiornamenti vengono scaricati dai repo remoti configurati nel nodo. Pertanto, il nodo deve avere un accesso in uscita a Internet per connettersi ai repository in modo che possa essere eseguita l'applicazione di patch.

Red Hat Enterprise Linux 7 nodi gestiti utilizzano Yum come gestore di pacchetti. AlmaLinux, Red Hat Enterprise Linux 8, e Rocky Linux i nodi gestiti vengono utilizzati DNF come gestore di pacchetti. Entrambi i gestori di pacchetti utilizzano il concetto di avviso di aggiornamento come file denominato updateinfo.xml. Un avviso di aggiornamento è semplicemente una raccolta di pacchetti per la risoluzione di problemi specifici. Ai singoli pacchetti non vengono assegnati classificazioni o livelli di gravità. Per questo motivo, Patch Manager assegna gli attributi di una notifica di aggiornamento ai pacchetti correlati e installa i pacchetti in base ai filtri di classificazione specificati nella linea di base della patch.

Abilitato SUSE Linux Enterprise Server (SLES) nodi gestiti, la ZYPP libreria ottiene l'elenco delle patch disponibili (una raccolta di pacchetti) dalle seguenti posizioni:

SLES i nodi gestiti utilizzano Zypper come gestore di pacchetti e Zypper utilizza il concetto di patch. Una patch è semplicemente una raccolta di pacchetti per la risoluzione di un problema specifico. Patch Manager gestisce tutti i pacchetti a cui si fa riferimento in una patch come relativi alla sicurezza. Poiché ai singoli pacchetti non vengono assegnate classificazioni o livelli di gravità, Patch Manager assegna ai pacchetti gli attributi della patch a cui appartengono.

Abilitato Ubuntu Server, il servizio di base delle patch di Systems Manager utilizza repository preconfigurati (repository) sul nodo gestito. Questi repo preconfigurati vengono utilizzati per estrarre un elenco aggiornato degli aggiornamenti dei pacchetti disponibili. A tale scopo, Systems Manager esegue l'equivalente di un comando sudo apt-get update.

I pacchetti vengono quindi filtrati dai codename-security repository, il cui nome in codice è univoco per la versione di rilascio, ad esempio per trusty Ubuntu Server 14. Patch Manager identifica solo gli aggiornamenti che fanno parte di questi repository:

Nei sistemi operativi Microsoft Windows, Patch Manager recupera un elenco di aggiornamenti disponibili che Microsoft pubblica su Microsoft Update e che sono automaticamente disponibili per Windows Server Update Services ()WSUS.

Patch Manager monitora continuamente la presenza di nuovi aggiornamenti in ogni. Regione AWS L'elenco degli aggiornamenti disponibili viene aggiornato in ciascuna regione almeno una volta al giorno. Quando vengono elaborate le informazioni sulla patch di Microsoft, Patch Manager rimuove gli aggiornamenti che sono stati sostituiti da aggiornamenti successivi dal relativo elenco di patch. Pertanto, viene visualizzato e può essere installato solo l'aggiornamento più recente. Ad esempio, se KB4012214 sostituisceKB3135456, KB4012214 viene reso disponibile solo come aggiornamento in Patch Manager.

Analogamente, Patch Manager può installare solo le patch disponibili sul nodo gestito durante l'operazione di patching. Per impostazione predefinita, Windows Server 2019 e Windows Server 2022 rimuove gli aggiornamenti che vengono sostituiti da aggiornamenti successivi. Di conseguenza, se si utilizza il ApproveUntilDate parametro in un Windows Server la linea di base della patch, ma la data selezionata nel ApproveUntilDate parametro è precedente alla data dell'ultima patch, si verifica lo scenario seguente:

Ciò significa che il nodo gestito è conforme in termini di operazioni di Systems Manager, anche se una patch critica del mese precedente potrebbe non essere installata. Lo stesso scenario può verificarsi quando si utilizza il ApproveAfterDays parametro. A causa del comportamento delle patch sostituite da Microsoft, è possibile impostare un numero (generalmente superiore a 30 giorni) in modo che le patch vengano applicate per Windows Server non vengono mai installati se l'ultima patch disponibile di Microsoft viene rilasciata prima che sia trascorso il numero di giorni in cui ApproveAfterDays è stata inserita. Tieni presente che questo comportamento di sistema non si applica se hai modificato le impostazioni di Windows Group Policy Object (GPO) per rendere disponibile la patch sostituita sui nodi gestiti.