如何指定替代修補程式來源儲存庫 (Linux) - AWS Systems Manager
替代儲存庫的重要考量替代修補程式來源儲存庫使用範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

如何指定替代修補程式來源儲存庫 (Linux)

當您使用受管節點上設定的預設儲存庫進行修補操作時,Patch Manager是 的功能 AWS Systems Manager,會掃描或安裝安全相關的修補程式。這是 的預設行為 Patch Manager。 如需如何 Patch Manager 選取並安裝安全修補程式,請參閱 如何選取安全性修補程式

不過,在 Linux 系統上,您也可以使用 Patch Manager 安裝與安全性無關的修補程式,或位於與受管節點上設定的預設來源儲存庫不同的修補程式。當您建立自訂修補基準時,可以指定替代的修補程式來源儲存庫。在每個自訂修補基準中,您可以指定修補程式來源組態,最多可達 20 個支援 Linux 作業系統的版本。

例如,假設您的 Ubuntu Server 機群包含 Ubuntu Server 14.04 和 Ubuntu Server 16.04 受管節點。在這種情況下,您可以為同一自訂修補基準中的每個版本指定備用儲存庫。您為每個版本提供名稱,指定作業系統版本類型 (產品),然後提供儲存庫組態。您也可以指定單一替代來源儲存庫,適用於所有支援的作業系統版本。

注意

執行為受管節點指定替代修補程式儲存庫的自訂修補基準並不會將這些儲存庫設為作業系統上的新預設儲存庫。修補操作完成後,先前設定為節點作業系統之預設值的儲存庫會保留為預設儲存庫。

如需使用此選項的範例案例清單,請參閱本主題後面的替代修補程式來源儲存庫使用範例

如需有關預設和自訂修補基準的詳細資訊,請參閱預先定義和自訂修補程式基準

範例:使用主控台

若要在 Systems Manager 主控台中工作時指定替代的修補程式來源儲存庫,請使用 Create patch baseline (建立修補基準) 頁面上的 Patch sources (修補程式來源) 區段。如需使用 Patch sources (修補程式來源) 選項的詳細資訊,請參閱建立 Linux 的自訂修補程式基準

範例:使用 AWS CLI

如需在 AWS Command Line Interface (AWS CLI) 中使用 --sources 選項的範例,請參閱 建立包含不同作業系統版本之自訂儲存庫的修補基準

替代儲存庫的重要考量

在您使用替代修補程式儲存庫規劃修補策略時,請注意以下重點。

只有指定的儲存庫會用於修補

指定替代儲存庫不表示指定額外的儲存庫。您可以選擇受管節點上設定為預設儲存庫以外的儲存庫。不過,如果您希望套用預設儲存庫的更新,您也必須指定預設儲存庫做為替代修補程式來源組態的一部分。

例如,在 Amazon Linux 2 受管節點上,預設的儲存庫是 amzn2-coreamzn2extra-docker。如果您想要在修補操作中包含適用於 Enterprise Linux (EPEL) 的額外套件儲存庫,您必須指定所有三個儲存庫作為替代儲存庫。

注意

執行為受管節點指定替代修補程式儲存庫的自訂修補基準並不會將這些儲存庫設為作業系統上的新預設儲存庫。修補操作完成後,先前設定為節點作業系統之預設值的儲存庫會保留為預設儲存庫。

YUM基於 的分佈的修補行為取決於 updateinfo.xml 清單

當您為 YUM型分佈指定替代修補程式儲存庫時,例如 Amazon Linux 1 或 Amazon Linux 2,Red Hat Enterprise Linux,或 CentOS ,修補行為取決於儲存庫是否包含完整且正確格式化updateinfo.xml檔案的更新資訊清單。此檔案指定各種套件的發行日期、分類和嚴重性。以下項目將會影響修補行為:

  • 如果您篩選 Classification (分類)Severity (嚴重性),但是在 updateinfo.xml 中並未指定這些項目,則該套件將不會被篩選條件所包含。這也表示沒有 updateinfo.xml 檔案的套件不會包含在修補中。

  • 如果您在 上篩選ApprovalAfterDays,但套件發行日期不是 Unix Epoch 格式 (或未指定發行日期),則篩選條件不會包含套件。

  • 如果您選取建立修補基準頁面中的包含非安全性更新核取方塊,則會有例外狀況。在這種情況下,沒有 updateinfo.xml 檔案的套件 (或包含此檔案但未正確格式化分類嚴重性日期值的套件),包含在預先篩選的修補程式清單中。(它們必須仍符合其他修補基準規則的要求,才能進行安裝。)

替代修補程式來源儲存庫使用範例

範例 1 – 的非安全更新 Ubuntu Server

您已使用 Patch Manager 在 機群上安裝安全修補程式 Ubuntu Server 使用 AWS提供的預先定義修補程式基準 的 受管節點AWS-UbuntuDefaultPatchBaseline。您可以建立以此預設為基礎的新修補基準,但在核准規則中指定,您希望也安裝預設分發中非安全性相關的更新。當此修補基準在您的節點上執行時,將會套用安全性與非安全性問題的修補程式。您也可以選擇在您為基準指定的修補程式例外狀況中,核准非安全性修補程式。

範例 2 - 適用於 的個人套件封存 (PPA) Ubuntu Server

您的 Ubuntu Server 受管節點正在執行透過 Ubuntu 的個人套件封存 (PPA) 分發的軟體。在此情況下,您可以建立修補基準,指定您在受管節點上設定的儲存PPA庫,做為修補操作的來源儲存庫。然後使用 Run Command 在節點上執行修補程式基準文件。

範例 3 - Amazon Linux 上的內部公司應用程式

您需要在您的 Amazon Linux 受管節點上執行一些應用程式,以符合產業法律合規需求。您可以在節點上為這些應用程式設定儲存庫,使用 YUM 初始安裝應用程式,然後更新或建立新的修補程式基準,以包含此新的公司儲存庫。之後,您可以使用 Run Command 使用 Scan選項執行AWS-RunPatchBaseline文件,以查看企業套件是否在已安裝的套件中列出,並在受管節點上是最新的。如果不是最新的,您可以使用 Install 選項更新應用程式以再次執行該文件。