建立適用於 Linux 的自訂修補基準 - AWS Systems Manager

建立適用於 Linux 的自訂修補基準

請使用下列程序來在 Patch Manager (AWS Systems Manager 的功能) 中建立 Linux 受管節點的自訂修補基準。

如需為 macOS 受管節點建立修補基準的資訊,請參閱 建立 macOS 的自訂修補基準。如需為 Windows 受管節點建立修補基準的資訊,請參閱 建立 Windows Server 的自訂修補基準

為 Linux 受管節點建立自訂修補基準

  1. 開啟位於 https://console.aws.amazon.com/systems-manager/ 的 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 Patch Manager

  3. 選擇修補基準索引標籤,然後選擇建立修補基準

    -或-

    如果您是第一次在目前的 AWS 區域 存取 Patch Manager,請選擇從概觀開始,然後選擇修補基準索引標籤,接著再選擇建立修補基準

  4. Name (名稱) 中,為新的修補基準輸入一個名稱,例如 MyRHELPatchBaseline

  5. (選用) 在 Description (描述) 中,輸入此修補基準的描述。

  6. Operating system (作業系統) 選擇作業系統,例如 Red Hat Enterprise Linux

  7. 如果要在建立所選作業系統時,立即開始將此修補基準做為所選作業系統的預設設定,請核取 Set this patch baseline as the default patch baseline for operating system name instances (將此修補基準設定為「作業系統名稱」執行個體的預設修補基準) 旁的方塊。

    注意

    唯有當您在 2022 年 12 月 22 日修補程式政策發行前第一次存取 Patch Manager,才能使用此選項。

    如需有關設定現有修補基準為預設的更多資訊,請參閱 將現有的修補基準設為預設值 (主控台)

  8. Approval rules for operating-system (作業系統核准規則) 部分中,使用欄位來建立一或多個自動核准規則。

    • 產品:此核准規則適用的作業系統版本,例如 RedhatEnterpriseLinux7.4。預設的選取為 All

    • Classification (分類):此核准規則適用的修補程式類型,例如 SecurityEnhancement。預設的選取為 All

      提示

      您可以設定修補基準,以控制是否安裝 Linux 的次要版本升級,例如 RHEL 7.8。Patch Manager 可以自動安裝次要版本升級,前提是適當的存放庫中有可用的更新。

      對於 Linux 作業系統,次要版本升級分類並不一致。即使在相同的核心版本中,它們可能被歸類為錯誤修正或安全更新,或者未歸類。以下是控制是否要安裝修補基準的幾個選項。

      • 選項 1:確保在次要版本升級可用時進行安裝的最廣泛核准規則是將 Classification (分類) 指定為 All (*),然後選擇 Include nonsecurity updates (包含非安全更新) 選項。

      • 選項 2:若要確保安裝作業系統版本的修補程式,您可以使用萬用字元 (*),在基準的 Patch exceptions (修補程式例外狀況) 區段中指定其核心格式。例如,RHEL 7.* 的核心格式為 kernel-3.10.0-*.el7.x86_64

        在修補基準的 Approved patches (已核准的修補程式) 清單中輸入 kernel-3.10.0-*.el7.x86_64,確保所有修補程式 (包括次要版本升級) 已套用至 RHEL 7.* 受管節點。(如果您知道次要版本修補程式的確切套件名稱,可以改輸入該名稱。)

      • 選項 3:您可以對哪些修補程式套用至受管節點 (包括次要版本升級) 進行最大控制,方法是使用 AWS-RunPatchBaseline 文件中的 InstallOverrideList 參數。如需詳細資訊,請參閱用於修補的 SSM 命令文件:AWS-RunPatchBaseline

    • 核准規則 (嚴重性):此規則適用的修補程式嚴重性值,例如 Critical。預設的選取為 All

    • Auto-approval (自動核准):選取修補程式以進行自動核准的方法。

      注意

      因為無法可靠地判斷 Ubuntu Server 更新套件的發行日期,此作業系統不支援自動核准選項。

      • Approve patches after a specified number of days (指定天數之後核准修補程式):修補程式發行或最後更新之後,Patch Manager 自動核准修補程式之前的等待天數。您可以輸入零 (0) 到 360 的任何整數。在大部分情形下,建議等候不要超過 100 天。

      • Approve patches released up to a specific date (核准特定日期前發布的修補程式):Patch Manager 會自動套用在此發行或更新日期當天或之前發行的所有修補程式。例如,如果您指定 2023 年 7 月 7 日,則不會自動安裝在 2023 年 7 月 8 日或之後發行或最後更新的修補程式。

    • (選用) 合規報告:您要指派給基準所核准之修補程式的嚴重性等級,例如 CriticalHigh

      注意

      如果您指定合規報告等級,且任何核准之修補程式的修補程式狀態回報為 Missing,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。

    • Include non-security updates (包含非安全性更新):除了安裝安全性相關修補程式之外,選取此核取方塊可安裝來源儲存庫中可用的非安全性修補程式。

      注意

      如果是 SUSE Linux Enterprise Server,(SLES)則無需選取此核取方塊,因為安全性與非安全性問題的修補程式預設都會安裝於 SLES 受管節點。如需詳細資訊,請參閱如何選取安全性修補程式中的有關 SLES 的內容。

    如需有關在自訂修補基準中使用核准規則的詳細資訊,請參閱自訂基準

  9. 如果您要明確核准符合核准規則之修補程式以外的任何修補程式,請在 Patch exceptions (修補程式例外狀況) 部分執行下列動作:

    • Approved patches (核准的修補程式),輸入您要核准之修補程式的逗號分隔清單。

      注意

      如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 已核准與遭拒的修補程式清單的套件名稱格式

    • (選用) 在 Approved patches compliance level (核准的修補程式合規層級)中,將合規層級指派至清單中的修補程式。

    • 如果您指定的任何核准修補程式都與安全性無關,請選取包含非安全性更新核取方塊,以便在您的 Linux 作業系統中也安裝這些修補程式。

  10. 如果您要明確拒絕任何符合核准規則之修補程式,請在 Patch exceptions (修補程式例外狀況) 部分執行下列動作:

    • Rejected patches (拒絕的修補程式) 中,輸入您要拒絕之修補程式的逗號分隔清單。

      注意

      如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 已核准與遭拒的修補程式清單的套件名稱格式

    • Rejected patches action (已拒絕修補程式動作) 中,選擇要讓 Patch Manager在 Rejected patches (已拒絕修補程式) 清單所包含之修補程式上執行的動作。

      • Allow as dependency (當做相依性允許):只有當套件是其他套件的相依性時,才會安裝 Rejected patches (已拒絕修補程式) 清單中的套件。這被視為符合修補基準,其狀態回報為 InstalledOther。若未指定選項,此為預設動作。

      • 封鎖遭拒的修補程式清單中的套件,以及將這些套件作為相依性而包含在內的套件,Patch Manager 在任何情況下都無法安裝。如果在遭拒的修補程式清單中新增套件之前即安裝該套件,或在之後於 Patch Manager 外部安裝該套件,則會被視為不符合修補基準,並且會將其狀態回報為 InstalledRejected

    注意

    Patch Manager 會以遞迴方式搜尋修補程式相依性。

  11. (選用) 如果您要為不同版本的作業系統指定替代的修補程式儲存庫,例如 AmazonLinux2016.03AmazonLinux2017.09,請為 Patch sources (修補程式來源) 部分中的每個產品執行以下動作:

    • Name (名稱) 中輸入一個名稱以協助您識別來源組態。

    • Product (產品) 中,請選取修補程式來源儲存庫適用的作業系統版本,例如 RedhatEnterpriseLinux7.4

    • Configuration (組態) 中輸入要以下列格式使用的 yum 儲存庫組態的值。

      [main]
name=MyCustomRepository
baseurl=https://my-custom-repository
enabled=1
      提示

      如需有關 yum 儲存庫組態可用選項的詳細資訊,請參閱 dnf.conf(5)

      選擇 Add another source (新增其他來源),為每個額外的作業系統版本指定來源儲存庫,最多 20 個。

      如需有關替代來源修補程式儲存庫的詳細資訊,請參閱如何指定替代修補程式來源儲存庫 (Linux)

  12. (選用) 對於 Manage tags (管理標籤),請套用一或多個索引鍵名稱/值對至修補基準。

    標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。例如,您可能希望標記修補基準,以識別其指定的修補程式的嚴重性等級、其適用的作業系統系列,以及環境類型。在這種情況下,您可以指定類似以下索引鍵名稱/值對的標籤:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. 選擇 Create patch baseline (建立修補基準)