Como os patches são instalados - AWS Systems Manager

Como os patches são instalados

O Patch Manager, um recurso do AWS Systems Manager, usa o mecanismo interno para um tipo de sistema operacional para instalar atualizações em um nó gerenciado. Por exemplo, a API do Windows Update é usada no Windows Server e o gerenciador de pacotes yum é usado no Amazon Linux 2.

Escolha uma das guias a seguir para saber como o Patch Manager instala patches em um sistema operacional.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

Nos nós gerenciados do Amazon Linux 1, do Amazon Linux 2, do Amazon Linux 2022 e do Amazon Linux 2023, o fluxo de trabalho de instalação de patches ocorre da seguinte maneira:

  1. Se uma lista de patches for especificada usando um URL https ou um URL de estilo caminho do Amazon Simple Storage Service (Amazon S3), que usa o parâmetro do InstallOverrideList para os documentos AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation, os patches listados serão instalados e as de etapas de 2 a 7 serão ignoradas.

  2. Aplique o GlobalFilters conforme especificado na linha de base de patch, mantendo apenas os pacotes qualificados para processamento adicional.

  3. Aplique o ApprovalRules conforme especificado na lista de referência de patches. Cada regra de aprovação pode definir um pacote como aprovado.

    As regras de aprovação, no entanto, também dependem da seleção da opção Include nonsecurity updates (Incluir atualizações não relacionadas à segurança) ao criar ou atualizar pela última vez a lista de referência de patches.

    Se nenhuma atualização que não seja de segurança for excluída, uma regra implícita será aplicada para selecionar apenas os pacotes com atualizações nos repositórios de segurança. Para cada pacote, a versão candidata do pacote (que geralmente é a versão mais recente) deve fazer parte de um repo de segurança.

    Se atualizações não relacionadas à segurança forem incluídas, os patches de outros repositórios também serão considerados.

  4. Aplique o ApprovedPatches conforme especificado na lista de referência de patches. Os patches aprovados têm aprovação para atualizar, mesmo que sejam descartados por GlobalFilters ou mesmo que nenhuma regra de aprovação especificada em ApprovalRules conceda a aprovação.

  5. Aplique o RejectedPatches conforme especificado na lista de referência de patches. Os patches rejeitados são removidos da lista de patches aprovados e não serão aplicados.

  6. Se várias versões de um patch forem aprovadas, a versão mais recente será aplicada.

  7. A API de atualização do YUM (Amazon Linux 1, Amazon Linux 2) ou a API de atualização do DNF (Amazon Linux 2022, API (Amazon Linux 2023) é aplicada aos patches aprovados da seguinte maneira:

    • Para linhas de base de patch padrão predefinidas fornecidas pela AWS, somente os patches especificados em updateinfo.xml são aplicados (apenas atualizações de segurança). Isso acontece porque a caixa de seleção Incluir atualizações não relacionadas a segurança não está marcada. As linhas de base predefinidas são equivalentes a uma linha de base personalizada com o seguinte:

      • A caixa de seleção Incluir atualizações não relacionadas a segurança não está marcada

      • Uma lista de GRAVIDADE de [Critical, Important]

      • Uma lista de CLASSIFICAÇÃO de [Security, Bugfix]

      No Amazon Linux 1 e no Amazon Linux 2, o comando yum equivalente para esse fluxo de trabalho é:

      sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

      No Amazon Linux 2022 e no Amazon Linux 2023, o comando dnf equivalente para esse fluxo de trabalho é:

      sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

      Se a caixa de seleção Incluir atualizações não relacionadas a segurança estiver marcada, os patches em updateinfo.xml e fora de updateinfo.xml serão todos aplicados (atualizações de segurança e não relacionadas a segurança).

      Para o Amazon Linux 1 e o Amazon Linux 2, se uma linha de base com Incluir atualizações não relacionadas a segurança for selecionada, tiver uma lista de GRAVIDADE de [Critical, Important] e uma lista de CLASSIFICAÇÃO de [Security, Bugfix], o comando yum equivalente será:

      sudo yum update --security --sec-severity=Critical,Important --bugfix -y

      No Amazon Linux 2022 e no Amazon Linux 2023, o comando dnf equivalente é:

      sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
      nota

      No Amazon Linux 2022 e no Amazon Linux 2023, um nível de gravidade de patch Medium é equivalente a uma gravidade Moderate que pode ser definida em alguns repositórios externos. Se você incluir patches de gravidade Medium na linha lista de referência de patches, os patches de gravidade Moderate dos patches externos também serão instalados nas instâncias.

      Quando você consulta dados de conformidade usando a ação de API DescribeInstancePatches, a filtragem para o nível de gravidade Medium informa patches com ambos os níveis de gravidade Medium e Moderate.

      O Amazon Linux 2022 e o Amazon Linux 2023 também são compatíveis com o nível de gravidade de patch None, que é reconhecido pelo gerenciador de pacotes DNF.

  8. O nó gerenciado será reinicializado se todas as atualizações forem instaladas. (Exceção: Se o parâmetro RebootOption estiver definido como NoReboot no documento AWS-RunPatchBaseline, o nó gerenciado não será reinicializado depois que o Patch Manager for executado. Para obter mais informações, consulte Nome do parâmetro: RebootOption).

CentOS and CentOS Stream

Em nós gerenciados do CentOS e CentOS Stream, o fluxo de trabalho da instalação de patches é o seguinte:

  1. Se uma lista de patches for especificada usando um URL https ou um URL de estilo caminho do Amazon Simple Storage Service (Amazon S3), que usa o parâmetro do InstallOverrideList para os documentos AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation, os patches listados serão instalados e as de etapas de 2 a 7 serão ignoradas.

    Aplique o GlobalFilters conforme especificado na linha de base de patch, mantendo apenas os pacotes qualificados para processamento adicional.

  2. Aplique o ApprovalRules conforme especificado na lista de referência de patches. Cada regra de aprovação pode definir um pacote como aprovado.

    As regras de aprovação, no entanto, também dependem da seleção da opção Include nonsecurity updates (Incluir atualizações não relacionadas à segurança) ao criar ou atualizar pela última vez a lista de referência de patches.

    Se nenhuma atualização que não seja de segurança for excluída, uma regra implícita será aplicada para selecionar apenas os pacotes com atualizações nos repositórios de segurança. Para cada pacote, a versão candidata do pacote (que geralmente é a versão mais recente) deve fazer parte de um repo de segurança.

    Se atualizações não relacionadas à segurança forem incluídas, os patches de outros repositórios também serão considerados.

  3. Aplique o ApprovedPatches conforme especificado na lista de referência de patches. Os patches aprovados têm aprovação para atualizar, mesmo que sejam descartados por GlobalFilters ou mesmo que nenhuma regra de aprovação especificada em ApprovalRules conceda a aprovação.

  4. Aplique o RejectedPatches conforme especificado na lista de referência de patches. Os patches rejeitados são removidos da lista de patches aprovados e não serão aplicados.

  5. Se várias versões de um patch forem aprovadas, a versão mais recente será aplicada.

  6. A API de atualização do YUM (nas versões 6.x e 7.x) ou a atualização do DNF (no CentOS 8 e CentOS Stream) é aplicada a patches aprovados.

  7. O nó gerenciado será reinicializado se todas as atualizações forem instaladas. (Exceção: Se o parâmetro RebootOption estiver definido como NoReboot no documento AWS-RunPatchBaseline, o nó gerenciado não será reinicializado depois que o Patch Manager for executado. Para obter mais informações, consulte Nome do parâmetro: RebootOption).

Debian Server and Raspberry Pi OS

Em instâncias do Debian Server e do Raspberry Pi OS (anteriormente Raspbian), o fluxo de trabalho da instalação de patches é o seguinte:

  1. Se uma lista de patches for especificada usando um URL https ou um URL de estilo caminho do Amazon Simple Storage Service (Amazon S3), que usa o parâmetro do InstallOverrideList para os documentos AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation, os patches listados serão instalados e as de etapas de 2 a 7 serão ignoradas.

  2. Se uma atualização estiver disponível para o python3-apt (uma interface de biblioteca Python para libapt), ela será atualizada para a versão mais recente. (Este pacote não relacionado à segurança é atualizado mesmo se você não selecionou a opção Include nonsecurity updates (Incluir atualizações não relacionadas à segurança)).

    Importante

    Somente no Debian Server 8: como alguns nós gerenciados do Debian Server 8.* se referem a um repositório de pacotes obsoleto (jessie-backports), o Patch Manager executa etapas adicionais para garantir que as operações de patch tenham êxito:

    1. Em seu nó gerenciado, a referência ao repositório jessie-backports é comentada na lista de locais de origem (/etc/apt/sources.list.d/jessie-backports). Como resultado, nenhuma tentativa é feita para baixar patches desse local.

    2. Uma chave de assinatura da atualização de segurança do Stretch é importada. Essa chave fornece as permissões necessárias para as operações de atualização e instalação nas distribuições do Debian Server 8.*.

    3. Uma operação apt-get é executada para garantir que a versão mais recente de python3-apt seja instalada antes do início do processo de aplicação de patch.

    4. Após a conclusão do processo de instalação, a referência ao repositório jessie-backports é restaurada e a chave de assinatura é removida das chaves de origem apt. Isso é feito para deixar a configuração do sistema como estava antes da operação de aplicação de patch.

    Na próxima vez que o Patch Manager atualizar o sistema, o mesmo processo será repetido.

  3. Aplique o GlobalFilters conforme especificado na linha de base de patch, mantendo apenas os pacotes qualificados para processamento adicional.

  4. Aplique o ApprovalRules conforme especificado na lista de referência de patches. Cada regra de aprovação pode definir um pacote como aprovado.

    nota

    Como não é possível determinar de forma confiável as datas de lançamento dos pacotes de atualização do Debian Server, as opções de aprovação automática não são compatíveis com esse sistema operacional.

    As regras de aprovação, no entanto, também dependem da seleção da opção Include nonsecurity updates (Incluir atualizações não relacionadas à segurança) ao criar ou atualizar pela última vez a lista de referência de patches.

    Se nenhuma atualização que não seja de segurança for excluída, uma regra implícita será aplicada para selecionar apenas os pacotes com atualizações nos repositórios de segurança. Para cada pacote, a versão candidata do pacote (que geralmente é a versão mais recente) deve fazer parte de um repo de segurança.

    Se atualizações não relacionadas à segurança forem incluídas, os patches de outros repositórios também serão considerados.

    nota

    Para o Debian Server e o Raspberry Pi OS, as versões candidatas de patch são limitadas a patches incluídos no debian-security.

  5. Aplique o ApprovedPatches conforme especificado na lista de referência de patches. Os patches aprovados têm aprovação para atualizar, mesmo que sejam descartados por GlobalFilters ou mesmo que nenhuma regra de aprovação especificada em ApprovalRules conceda a aprovação.

  6. Aplique o RejectedPatches conforme especificado na lista de referência de patches. Os patches rejeitados são removidos da lista de patches aprovados e não serão aplicados.

  7. A biblioteca de APT é usada para atualizar pacotes.

    nota

    O Patch Manager não oferece suporte ao uso da opção Pin-Priority de APT para atribuir prioridades aos pacotes. O Patch Manager agrega as atualizações disponíveis de todos os repositórios habilitados e seleciona a atualização mais recente que corresponde à lista de referência de cada pacote instalado.

  8. O nó gerenciado será reinicializado se todas as atualizações forem instaladas. (Exceção: Se o parâmetro RebootOption estiver definido como NoReboot no documento AWS-RunPatchBaseline, o nó gerenciado não será reinicializado depois que o Patch Manager for executado. Para obter mais informações, consulte Nome do parâmetro: RebootOption).

macOS

Em nós gerenciados do macOS, o fluxo de trabalho da instalação de patches é o seguinte:

  1. O/Library/Receipts/InstallHistory.plisté um registro de software que foi instalado e atualizado usando osoftwareupdateeinstallerGerenciadores de pacotes. Usar opkgutilferramenta de linha de comando (parainstaller) e osoftwareupdate, os comandos da CLI são executados para analisar esta lista.

    Para o installer, a resposta aos comandos da CLI inclui package name, version, volume, location e install-time, mas apenas o package name e a version serão usados pelo Patch Manager.

    Para o softwareupdate, a resposta aos comandos da CLI inclui o nome do pacote (display name), version e date, mas apenas o nome e a versão do pacote são usados pelo Patch Manager.

    Para Brew e Brew Cask, o Homebrew não suporta seus comandos rodando sob o usuário raiz. Como resultado, o Patch Manager consulta e executa comandos Homebrew como o proprietário do diretório Homebrew ou como um usuário válido pertencente ao grupo de proprietários do diretório Homebrew. Os comandos são semelhantes asoftwareupdateeinstallere são executados por meio de um subprocesso Python para coletar dados de pacotes, e a saída é analisada para identificar nomes e versões de pacotes.

  2. Aplique o GlobalFilters conforme especificado na linha de base de patch, mantendo apenas os pacotes qualificados para processamento adicional.

  3. Aplique o ApprovalRules conforme especificado na lista de referência de patches. Cada regra de aprovação pode definir um pacote como aprovado.

  4. Aplique o ApprovedPatches conforme especificado na lista de referência de patches. Os patches aprovados têm aprovação para atualizar, mesmo que sejam descartados por GlobalFilters ou mesmo que nenhuma regra de aprovação especificada em ApprovalRules conceda a aprovação.

  5. Aplique o RejectedPatches conforme especificado na lista de referência de patches. Os patches rejeitados são removidos da lista de patches aprovados e não serão aplicados.

  6. Se várias versões de um patch forem aprovadas, a versão mais recente será aplicada.

  7. Invoca a CLI de pacote apropriada em seu nó gerenciado para processar patches aprovados da seguinte maneira:

    nota

    O installer não tem a funcionalidade para verificar e instalar atualizações. Portanto, para o installer, o Patch Manager somente informa quais pacotes estão instalados. Como resultado, os pacotes do installer nunca são relatados como Missing.

    • Para listas de referência de patches padrão predefinidas fornecidas pela AWS e para linhas de base de patch personalizadas em que a caixa de seleção Incluir atualizações não relacionadas a segurança não está marcada, somente atualizações de segurança são aplicadas.

    • Para listas de referência de patches personalizadas em que a caixa de seleção Incluir atualizações não relacionadas a segurança estiver selecionada, tanto as atualizações de segurança quanto as não relacionadas a segurança se aplicarão.

  8. O nó gerenciado será reinicializado se todas as atualizações forem instaladas. (Exceção: Se o parâmetro RebootOption estiver definido como NoReboot no documento AWS-RunPatchBaseline, o nó gerenciado não será reinicializado depois que o Patch Manager for executado. Para obter mais informações, consulte Nome do parâmetro: RebootOption).

Oracle Linux

Em nós gerenciados do Oracle Linux, o fluxo de trabalho da instalação de patches é o seguinte:

  1. Se uma lista de patches for especificada usando um URL https ou um URL de estilo caminho do Amazon Simple Storage Service (Amazon S3), que usa o parâmetro do InstallOverrideList para os documentos AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation, os patches listados serão instalados e as de etapas de 2 a 7 serão ignoradas.

  2. Aplique o GlobalFilters conforme especificado na linha de base de patch, mantendo apenas os pacotes qualificados para processamento adicional.

  3. Aplique o ApprovalRules conforme especificado na lista de referência de patches. Cada regra de aprovação pode definir um pacote como aprovado.

    As regras de aprovação, no entanto, também dependem da seleção da opção Include nonsecurity updates (Incluir atualizações não relacionadas à segurança) ao criar ou atualizar pela última vez a lista de referência de patches.

    Se nenhuma atualização que não seja de segurança for excluída, uma regra implícita será aplicada para selecionar apenas os pacotes com atualizações nos repositórios de segurança. Para cada pacote, a versão candidata do pacote (que geralmente é a versão mais recente) deve fazer parte de um repo de segurança.

    Se atualizações não relacionadas à segurança forem incluídas, os patches de outros repositórios também serão considerados.

  4. Aplique o ApprovedPatches conforme especificado na lista de referência de patches. Os patches aprovados têm aprovação para atualizar, mesmo que sejam descartados por GlobalFilters ou mesmo que nenhuma regra de aprovação especificada em ApprovalRules conceda a aprovação.

  5. Aplique o RejectedPatches conforme especificado na lista de referência de patches. Os patches rejeitados são removidos da lista de patches aprovados e não serão aplicados.

  6. Se várias versões de um patch forem aprovadas, a versão mais recente será aplicada.

  7. Em nós gerenciados da versão 7, a API da atualização do YUM é aplicada a patches aprovados, da seguinte maneira:

    • Para linhas de base de patch padrão predefinidas fornecidas pela AWS e para linhas de base de patch personalizadas em que a caixa de seleção Incluir atualizações não relacionadas a segurança não está marcada, somente os patches especificados em updateinfo.xml são aplicados (somente atualizações de segurança).

      O comando equivalente do yum para esse fluxo de trabalho é:

      sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y
    • Para linhas de base de patch personalizadas em que a opção Incluir atualizações não relacionadas a segurança está selecionada, ambos os patches no updateinfo.xml e os que não estão no updateinfo.xml são aplicados (atualizações de segurança e não relacionadas a segurança).

      O comando equivalente do yum para esse fluxo de trabalho é:

      sudo yum update --security --bugfix -y

      Em nós gerenciados da versão 8 e 9, a API da atualização do DNF é aplicada a patches aprovados, da seguinte maneira:

      • Para linhas de base de patch padrão predefinidas fornecidas pela AWS e para linhas de base de patch personalizadas em que a caixa de seleção Incluir atualizações não relacionadas a segurança não está marcada, somente os patches especificados em updateinfo.xml são aplicados (somente atualizações de segurança).

        O comando equivalente do yum para esse fluxo de trabalho é:

        sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important
      • Para linhas de base de patch personalizadas em que a opção Incluir atualizações não relacionadas a segurança está selecionada, ambos os patches no updateinfo.xml e os que não estão no updateinfo.xml são aplicados (atualizações de segurança e não relacionadas a segurança).

        O comando equivalente do yum para esse fluxo de trabalho é:

        sudo dnf upgrade --security --bugfix
  8. O nó gerenciado será reinicializado se todas as atualizações forem instaladas. (Exceção: Se o parâmetro RebootOption estiver definido como NoReboot no documento AWS-RunPatchBaseline, o nó gerenciado não será reinicializado depois que o Patch Manager for executado. Para obter mais informações, consulte Nome do parâmetro: RebootOption).

AlmaLinux, RHEL, and Rocky Linux

Em nós gerenciados do AlmaLinux, do Red Hat Enterprise Linux e do Rocky Linux, o fluxo de trabalho da instalação de patches é este:

  1. Se uma lista de patches for especificada usando um URL https ou um URL de estilo caminho do Amazon Simple Storage Service (Amazon S3), que usa o parâmetro do InstallOverrideList para os documentos AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation, os patches listados serão instalados e as de etapas de 2 a 7 serão ignoradas.

  2. Aplique o GlobalFilters conforme especificado na linha de base de patch, mantendo apenas os pacotes qualificados para processamento adicional.

  3. Aplique o ApprovalRules conforme especificado na lista de referência de patches. Cada regra de aprovação pode definir um pacote como aprovado.

    As regras de aprovação, no entanto, também dependem da seleção da opção Include nonsecurity updates (Incluir atualizações não relacionadas à segurança) ao criar ou atualizar pela última vez a lista de referência de patches.

    Se nenhuma atualização que não seja de segurança for excluída, uma regra implícita será aplicada para selecionar apenas os pacotes com atualizações nos repositórios de segurança. Para cada pacote, a versão candidata do pacote (que geralmente é a versão mais recente) deve fazer parte de um repo de segurança.

    Se atualizações não relacionadas à segurança forem incluídas, os patches de outros repositórios também serão considerados.

  4. Aplique o ApprovedPatches conforme especificado na lista de referência de patches. Os patches aprovados têm aprovação para atualizar, mesmo que sejam descartados por GlobalFilters ou mesmo que nenhuma regra de aprovação especificada em ApprovalRules conceda a aprovação.

  5. Aplique o RejectedPatches conforme especificado na lista de referência de patches. Os patches rejeitados são removidos da lista de patches aprovados e não serão aplicados.

  6. Se várias versões de um patch forem aprovadas, a versão mais recente será aplicada.

  7. A API de atualização do YUM (no RHEL 7) ou a API de atualização do DNF (no AlmaLinux 8 e 9, no RHEL 8 e 9 e noRocky Linux 8 e 9) é aplicada a patches aprovados da seguinte maneira:

    • Para linhas de base de patch padrão predefinidas fornecidas pela AWS e para linhas de base de patch personalizadas em que a caixa de seleção Incluir atualizações não relacionadas a segurança não está marcada, somente os patches especificados em updateinfo.xml são aplicados (somente atualizações de segurança).

      No RHEL 7, o comando yum equivalente para esse fluxo de trabalho é:

      sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

      Para o AlmaLinux, o RHEL 8 e o Rocky Linux, os comandos dnf equivalentes para o fluxo de trabalho são:

      sudo dnf update-minimal --sec-severity=Critical --bugfix -y ; \ sudo dnf update-minimal --sec-severity=Important --bugfix -y
    • Para linhas de base de patch personalizadas em que a opção Incluir atualizações não relacionadas a segurança está selecionada, ambos os patches no updateinfo.xml e os que não estão no updateinfo.xml são aplicados (atualizações de segurança e não relacionadas a segurança).

      No RHEL 7, o comando yum equivalente para esse fluxo de trabalho é:

      sudo yum update --security --bugfix -y

      No AlmaLinux 8 e 9, no RHEL 8 e 9 e no Rocky Linux 8 e 9, o comando dnf equivalente para esse fluxo de trabalho é:

      sudo dnf update --security --bugfix -y
  8. O nó gerenciado será reinicializado se todas as atualizações forem instaladas. (Exceção: Se o parâmetro RebootOption estiver definido como NoReboot no documento AWS-RunPatchBaseline, o nó gerenciado não será reinicializado depois que o Patch Manager for executado. Para obter mais informações, consulte Nome do parâmetro: RebootOption).

SLES

Em nós gerenciados do SUSE Linux Enterprise Server (SLES), o fluxo de trabalho da instalação de patches é o seguinte:

  1. Se uma lista de patches for especificada usando um URL https ou um URL de estilo caminho do Amazon Simple Storage Service (Amazon S3), que usa o parâmetro do InstallOverrideList para os documentos AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation, os patches listados serão instalados e as de etapas de 2 a 7 serão ignoradas.

  2. Aplique o GlobalFilters conforme especificado na linha de base de patch, mantendo apenas os pacotes qualificados para processamento adicional.

  3. Aplique o ApprovalRules conforme especificado na lista de referência de patches. Cada regra de aprovação pode definir um pacote como aprovado.

    As regras de aprovação, no entanto, também dependem da seleção da opção Include nonsecurity updates (Incluir atualizações não relacionadas à segurança) ao criar ou atualizar pela última vez a lista de referência de patches.

    Se nenhuma atualização que não seja de segurança for excluída, uma regra implícita será aplicada para selecionar apenas os pacotes com atualizações nos repositórios de segurança. Para cada pacote, a versão candidata do pacote (que geralmente é a versão mais recente) deve fazer parte de um repo de segurança.

    Se atualizações não relacionadas à segurança forem incluídas, os patches de outros repositórios também serão considerados.

  4. Aplique o ApprovedPatches conforme especificado na lista de referência de patches. Os patches aprovados têm aprovação para atualizar, mesmo que sejam descartados por GlobalFilters ou mesmo que nenhuma regra de aprovação especificada em ApprovalRules conceda a aprovação.

  5. Aplique o RejectedPatches conforme especificado na lista de referência de patches. Os patches rejeitados são removidos da lista de patches aprovados e não serão aplicados.

  6. Se várias versões de um patch forem aprovadas, a versão mais recente será aplicada.

  7. A API de atualização do Zypper é aplicada a patches aprovados.

  8. O nó gerenciado será reinicializado se todas as atualizações forem instaladas. (Exceção: Se o parâmetro RebootOption estiver definido como NoReboot no documento AWS-RunPatchBaseline, o nó gerenciado não será reinicializado depois que o Patch Manager for executado. Para obter mais informações, consulte Nome do parâmetro: RebootOption).

Ubuntu Server

Em nós gerenciados do Ubuntu Server, o fluxo de trabalho da instalação de patches é o seguinte:

  1. Se uma lista de patches for especificada usando um URL https ou um URL de estilo caminho do Amazon Simple Storage Service (Amazon S3), que usa o parâmetro do InstallOverrideList para os documentos AWS-RunPatchBaseline ou AWS-RunPatchBaselineAssociation, os patches listados serão instalados e as de etapas de 2 a 7 serão ignoradas.

  2. Se uma atualização estiver disponível para o python3-apt (uma interface de biblioteca Python para libapt), ela será atualizada para a versão mais recente. (Este pacote não relacionado à segurança é atualizado mesmo se você não selecionou a opção Include nonsecurity updates (Incluir atualizações não relacionadas à segurança)).

  3. Aplique o GlobalFilters conforme especificado na linha de base de patch, mantendo apenas os pacotes qualificados para processamento adicional.

  4. Aplique o ApprovalRules conforme especificado na lista de referência de patches. Cada regra de aprovação pode definir um pacote como aprovado.

    nota

    Como não é possível determinar de forma confiável as datas de lançamento dos pacotes de atualização do Ubuntu Server, as opções de aprovação automática não são compatíveis com esse sistema operacional.

    As regras de aprovação, no entanto, também dependem da seleção da opção Include nonsecurity updates (Incluir atualizações não relacionadas à segurança) ao criar ou atualizar pela última vez a lista de referência de patches.

    Se nenhuma atualização que não seja de segurança for excluída, uma regra implícita será aplicada para selecionar apenas os pacotes com atualizações nos repositórios de segurança. Para cada pacote, a versão candidata do pacote (que geralmente é a versão mais recente) deve fazer parte de um repo de segurança.

    Se atualizações não relacionadas à segurança forem incluídas, os patches de outros repositórios também serão considerados.

    As regras de aprovação, no entanto, também dependem da seleção da opção Include nonsecurity updates (Incluir atualizações não relacionadas à segurança) ao criar ou atualizar pela última vez a lista de referência de patches.

    nota

    Para cada versão do Ubuntu Server, as versões candidatas a patches são limitadas aos patches que fazem parte do repositório associado a essa versão, da seguinte forma:

    • Ubuntu Server 14.04 LTS: trusty-security

    • Ubuntu Server 16.04 LTS: xenial-security

    • Ubuntu Server 18.04 LTS: bionic-security

    • Ubuntu Server 20.04 LTS): focal-security

    • Ubuntu Server 20.10 STR: groovy-security

    • Ubuntu Server 22.04 LTS: jammy-security

    • Ubuntu Server 23.04: lunar-lobster

  5. Aplique o ApprovedPatches conforme especificado na lista de referência de patches. Os patches aprovados têm aprovação para atualizar, mesmo que sejam descartados por GlobalFilters ou mesmo que nenhuma regra de aprovação especificada em ApprovalRules conceda a aprovação.

  6. Aplique o RejectedPatches conforme especificado na lista de referência de patches. Os patches rejeitados são removidos da lista de patches aprovados e não serão aplicados.

  7. A biblioteca de APT é usada para atualizar pacotes.

    nota

    O Patch Manager não oferece suporte ao uso da opção Pin-Priority de APT para atribuir prioridades aos pacotes. O Patch Manager agrega as atualizações disponíveis de todos os repositórios habilitados e seleciona a atualização mais recente que corresponde à lista de referência de cada pacote instalado.

  8. O nó gerenciado será reinicializado se todas as atualizações forem instaladas. (Exceção: Se o parâmetro RebootOption estiver definido como NoReboot no documento AWS-RunPatchBaseline, o nó gerenciado não será reinicializado depois que o Patch Manager for executado. Para obter mais informações, consulte Nome do parâmetro: RebootOption).

Windows Server

Quando uma operação de aplicação de patch é executada em um nó gerenciado do Windows Server, o nó solicita um snapshot da lista de referência de patches apropriada no Systems Manager. Esse snapshot contém a lista de todas as atualizações disponíveis na linha de base de patch que foram aprovadas para implantação. Essa lista de atualizações é enviada à API do Windows Update, que determina quais das atualizações são aplicáveis ao nó gerenciado e os instala conforme necessário. O Windows permite que somente a versão mais recente disponível de um KB seja instalada. O Patch Manager instala a versão mais recente de um KB quando ele, ou qualquer versão anterior do KB, corresponde à lista de referência de patches aplicada. Se todas as atualizações forem instaladas, o nó gerenciado será reinicializado posteriormente quantas vezes for preciso para concluir todas as correções necessárias. (Exceção: Se o parâmetro RebootOption estiver definido como NoReboot no documento AWS-RunPatchBaseline, o nó gerenciado não será reinicializado depois que o Patch Manager for executado. Para obter mais informações, consulte Nome do parâmetro: RebootOption). O resumo da operação de patch pode ser encontrado na saída da solicitação do Run Command. Os logs adicionais podem ser encontrados em seu nó gerenciado da pasta %PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs.

Como a API do Windows Update é usada para fazer download e instalar KBs, todas as configurações de política de grupo para Windows Update são respeitadas. Nenhuma configuração de política de grupo é necessária para usar o Patch Manager, mas todas as configurações definidas serão aplicadas, como para direcionar nós gerenciados para um servidor WSUS (Windows Server Update Services).

nota

Por padrão, o Windows baixa todas as KBs do site do Microsoft Windows Update porque o Patch Manager usa a API do Windows Update para conduzir o download e a instalação de KBs. Por isso, o nó gerenciado precisa acessar o site de atualização do Microsoft Windows Update, caso contrário, a aplicação de patches falhará. Uma alternativa é configurar um servidor WSUS para servir como repositório de KBs e configurar os nós gerenciados para direcionar esse WSUS, em vez de usar políticas de grupo.