本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
修補基準規則在 Linux 系統上的運作方式
Linux 分發的修補基準中的規則,運作方式依據分發類型而有不同。與Windows Server受管節點上的修補程式更新不同,每個節點上的規則都會評估,以考量執行個體上設定的儲存位置。 Patch Manager中的工具 AWS Systems Manager會使用原生套件管理員來驅動修補程式基準核准的修補程式安裝。
對於報告修補程式嚴重性級別的 Linux 作業系統類型,Patch Manager 使用軟體發布者為更新通知或個別修補程式報告的嚴重性級別。Patch Manager 不會從第三方來源推導出嚴重性級別,例如通用漏洞評分系統
修補基準規則在 Amazon Linux 1、Amazon Linux 2、Amazon Linux 2022 和 Amazon Linux 2023 上的運作方式
注意
Amazon Linux 2023 (AL2023) 使用版本控制的儲存庫,可透過一或多個系統設定鎖定至特定版本。對於 AL2023 EC2 執行個體上的所有修補操作, Patch Manager會使用最新的儲存庫版本,與系統組態無關。如需詳細資訊,請參閱《Amazon Linux 2023 使用者指南》中的透過版本化儲存庫使用決定性升級一節。
在 Amazon Linux 1、Amazon Linux 2、Amazon Linux 2022 和 Amazon Linux 2023 上,修補程式選取程序如下:
-
在受管節點上,YUM 程式庫 (Amazon Linux 1 和 Amazon Linux 2) 或 DNF 程式庫 (Amazon Linux 2022 和 Amazon Linux 2023) 會存取每個已設定儲存庫的
updateinfo.xml檔案。如果沒有找到
updateinfo.xml檔案,是否安裝修補程式取決於包含非安全性更新和自動核准的設定。例如,如果允許非安全性更新,則會在自動核准時間到達時進行安裝。 -
updateinfo.xml中的每個更新通知皆包含數個屬性,以表示通知中的套件的屬性,如下表所述。更新通知屬性 屬性 描述 type 對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。
您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
severity 對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。
您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
update_id 表示諮詢 ID,例如 ALAS-2017-867。諮詢 ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
參考 包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2017-1234567)。CVE ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
已更新 對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上
ApproveAfterDays之間的比較,可用於判斷修補程式是否已核准部署。如需已核准修補程式和遭拒的修補程式清單之可接受格式的相關資訊,請參閱 已核准與遭拒的修補程式清單的套件名稱格式。
-
受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。
-
已根據以下指導方針選取欲更新之套件:
安全性選項 修補程式選擇 AWS 提供的預先定義預設修補基準和自訂修補基準,其中未選取包含非安全性更新核取方塊
對於
updateinfo.xml中的每個更新通知,修補基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。針對 Amazon Linux 1 和 Amazon Linux 2,此工作流程的同等 yum 命令為:
sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y針對 Amazon Linux 2022 和 Amazon Linux 2023,此工作流程的同等 yum 命令為:
sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y自訂修補程式基準,其中已選取包含非安全性更新核取方塊,且嚴重性清單為
[Critical, Important],分類清單為[Security, Bugfix]除了套用從
updateinfo.xml中選擇的安全性更新外,Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。針對 Amazon Linux 和 Amazon Linux 2,此工作流程的同等 yum 命令為:
sudo yum update --security --sec-severity=Critical,Important --bugfix -y針對 Amazon Linux 2022 和 Amazon Linux 2023,此工作流程的同等 yum 命令為:
sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
如需有關修補程式合規狀態值的詳細資訊,請參閱 修補程式合規狀態值。
修補基準規則在 CentOS 和 CentOS Stream 上的運作方式
CentOS 和 CentOS Stream 預設儲存庫不包含 updateinfo.xml 檔案。不過,您建立或使用的自訂儲存庫可能包含此檔案。在本主題中,updateinfo.xml 的參考僅適用於這些自訂儲存庫。
在 CentOS 和 CentOS Stream 上,修補程式選擇程序如下:
-
在受管節點上,YUM 程式庫 (在 CentOS 6.x 和 7.x 版本上) 或 DNF 程式庫 (在 CentOS 8.x 和 CentOS Stream 上) 會存取每個已設定儲存庫的
updateinfo.xml檔案 (如果自訂儲存庫中存在該檔案)。如果沒有找到一律包含預設儲存庫的
updateinfo.xml,是否安裝修補程式取決於包含非安全性更新和自動核准的設定。例如,如果允許非安全性更新,則會在自動核准時間到達時進行安裝。 -
如果存在
updateinfo.xml,則在檔案中的每個更新通知皆包含數個屬性,以表示通知中的套件的屬性,如下表所述。更新通知屬性 屬性 描述 type 對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。
您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
severity 對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。
您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
update_id 表示諮詢 ID,例如 CVE-2019-17055。諮詢 ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
參考 包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2019-17055) 或 Bugzilla ID (格式:1463241)。CVE ID 與 Bugzilla ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
已更新 對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上
ApproveAfterDays之間的比較,可用於判斷修補程式是否已核准部署。如需已核准修補程式和遭拒的修補程式清單之可接受格式的相關資訊,請參閱 已核准與遭拒的修補程式清單的套件名稱格式。
-
在任何情況下,受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。
-
已根據以下指導方針選取欲更新之套件:
安全性選項 修補程式選擇 AWS 提供的預先定義預設修補基準和自訂修補基準,其中未選取包含非安全性更新核取方塊
對於
updateinfo.xml中的每個更新通知,如果它存在於自訂儲存庫中,則修補基準將用作篩選條件,僅允許更新中包含合格的套件。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。對於存在
updateinfo.xml的 CentOS 6 和 7,此工作流程的等效 yum 命令為:sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y對於存在
updateinfo.xml的 CentOS 8 和 CentOS Stream,此工作流程的等效 yum 命令為:sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y自訂修補程式基準,其中已選取包含非安全性更新核取方塊,且嚴重性清單為
[Critical, Important],分類清單為[Security, Bugfix]除了套用從
updateinfo.xml中選取的安全性更新外 (如果它存在於自訂儲存庫中),Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。對於存在
updateinfo.xml的 CentOS 6 和 7,此工作流程的等效 yum 命令為:sudo yum update --sec-severity=Critical,Important --bugfix -y對於存在
updateinfo.xml的 CentOS 8 和 CentOS Stream,此工作流程的等效 yum 命令為:sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y對於沒有
updateinfo.xml的預設儲存庫和自訂儲存庫,您必須選取包含非安全性更新核取方塊,以更新作業系統 (OS) 套件。
如需有關修補程式合規狀態值的詳細資訊,請參閱 修補程式合規狀態值。
修補基準規則在 Debian Server 和 Raspberry Pi OS 上的運作方式
在 Debian Server 和 Raspberry Pi OS 上 (之前為 Raspbian),修補基準服務提供篩選 Priority (優先順序) 與 Section (區段) 欄位操作。這些欄位通常會顯示所有 Debian Server 和 Raspberry Pi OS 套件。為了判斷修補程式是否已被修補基準選取,Patch Manager 會執行下列動作:
-
在 Debian Server 和 Raspberry Pi OS 系統上,會執行與
sudo apt-get update相當的命令以重新整理可用套件清單。儲存區未設定,資料從設定於sources清單中的儲存區提取。 -
若有可用於
python3-apt(libapt的 Python 程式庫界面) 的更新,它會升級到最新版本。(這個非安全性套件會升級,即使您未選取 Include nonsecurity updates (包含非安全性更新) 選項)。重要
僅限於 Debian Server 8 上:由於 Debian Server 8.* 作業系統會參考已淘汰的套件庫 (
jessie-backports),因此 Patch Manager 會執行下列額外的步驟以確保修補操作成功。-
在您的受管節點上,對
jessie-backports儲存庫的參考從來源位置清單 (/etc/apt/sources.list.d/jessie-backports) 會變更為註解。因此,不會嘗試從該位置下載修補程式, -
並會匯入延展安全性更新簽署金鑰。此金鑰提供了 Debian Server 8.* 發行版本的更新和安裝操作所需的許可。
-
系統此時會執行
apt-get操作以確保在修補程式開始之前已安裝最新版本的python3-apt。 -
安裝程序完成後,會還原對
jessie-backports儲存庫的參考,並從 apt 來源金鑰環中移除簽署金鑰。這麼做是為了讓系統組態保持在修補操作之前的狀態。
-
-
接著,將套用 GlobalFilters、ApprovalRules、ApprovedPatches 和 RejectedPatches 清單。
注意
因為無法可靠地判斷 Debian Server 更新套件的發行日期,此作業系統不支援自動核准選項。
然而,核准規則也受限於建立或最後更新修補基準時,是否已選取 Include nonsecurity updates (包含非安全性更新) 核取方塊。
如果非安全更新被排除,將會套用隱含規則,以僅選擇安全儲存庫中包含升級的套件。對於每個套件,套件的候選版本 (通常是最新版本) 必須是安全儲存庫的一部分。在這種情形下,對於 Debian Server 來說,修補候選版本僅限於以下儲存庫中包含的修補程式:
這些儲存庫的命名如下:
-
Debian Server 8︰
debian-security jessie -
Debian Server 和 Raspberry Pi OS 9︰
debian-security stretch -
Debian Server 10:
debian-security buster -
Debian Server 11:
debian-security bullseye -
Debian Server 12:
debian-security bookworm
如果包含非安全性更新,則也會考慮來自其他儲存庫的修補程式。
如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 已核准與遭拒的修補程式清單的套件名稱格式。
-
若要檢視 Priority (優先順序) 和 Section (區段) 欄位的內容,請執行下列 aptitude 命令:
注意
您可能必須先在 Debian Server 系統上安裝 Aptitude。
aptitude search -F '%p %P %s %t %V#' '~U'
在此命令的回應中,所有可升級的套裝將以此格式回報:
name, priority, section, archive, candidate version
如需有關修補程式合規狀態值的詳細資訊,請參閱 修補程式合規狀態值。
修補基準規則在 macOS 上的運作方式
在 macOS 上,修補程式選擇程序如下:
-
在受管節點上,Patch Manager 會存取
InstallHistory.plist檔案已剖析的內容,並識別套件名稱和版本。如需剖析程序的詳細資訊,請參閱 如何安裝修補程式 中的 macOS 索引標籤。
-
受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。
-
已根據以下指導方針選取欲更新之套件:
安全性選項 修補程式選擇 AWS 提供的預先定義預設修補基準和自訂修補基準,其中未選取包含非安全性更新核取方塊
對於每個可用套件更新,修補基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。
已選取包含非安全性更新核取方塊的自訂修補基準。
除了套用使用
InstallHistory.plist進行識別的安全性更新外,修補程式管理員也將套用符合修補程式篩選規則的非安全性更新。
如需有關修補程式合規狀態值的詳細資訊,請參閱 修補程式合規狀態值。
修補基準規則在 Oracle Linux 上的運作方式
在 Oracle Linux 上,修補程式選擇程序如下:
-
在受管節點上,YUM 程式庫存取每個已設定之儲存庫的
updateinfo.xml檔案。注意
如果儲存庫不是由 Oracle 管理的,則可能沒有
updateinfo.xml檔案。如果沒有找到updateinfo.xml,是否安裝修補程式取決於包含非安全性更新和自動核准的設定。例如,如果允許非安全性更新,則會在自動核准時間到達時進行安裝。 -
updateinfo.xml中的每個更新通知皆包含數個屬性,以表示通知中的套件的屬性,如下表所述。更新通知屬性 屬性 描述 type 對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。
您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
severity 對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。
您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
update_id 表示諮詢 ID,例如 CVE-2019-17055。諮詢 ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
參考 包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2019-17055) 或 Bugzilla ID (格式:1463241)。CVE ID 與 Bugzilla ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
已更新 對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上
ApproveAfterDays之間的比較,可用於判斷修補程式是否已核准部署。如需已核准修補程式和遭拒的修補程式清單之可接受格式的相關資訊,請參閱 已核准與遭拒的修補程式清單的套件名稱格式。
-
受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。
-
已根據以下指導方針選取欲更新之套件:
安全性選項 修補程式選擇 AWS 提供的預先定義預設修補基準和自訂修補基準,其中未選取包含非安全性更新核取方塊
對於
updateinfo.xml中的每個更新通知,修補基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。對於版本 7 受管節點,此工作流程的同等 yum 命令為:
sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y對於版本 8 和 9 受管節點,此工作流程的同等 dnf 命令為:
sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important自訂修補程式基準,其中已選取包含非安全性更新核取方塊,且嚴重性清單為
[Critical, Important],分類清單為[Security, Bugfix]除了套用從
updateinfo.xml中選擇的安全性更新外,Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。對於版本 7 受管節點,此工作流程的同等 yum 命令為:
sudo yum update --security --sec-severity=Critical,Important --bugfix -y對於版本 8 和 9 受管節點,此工作流程的同等 dnf 命令為:
sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y
如需有關修補程式合規狀態值的詳細資訊,請參閱 修補程式合規狀態值。
修補基準規則在 AlmaLinux、RHEL 和 Rocky Linux 上的運作方式
在 AlmaLinux、Red Hat Enterprise Linux (RHEL) 和 Rocky Linux 上,修補程式選擇程序如下:
-
在受管節點上,YUM 程式庫 (RHEL 7) 或 DNF 程式庫 ((AlmaLinux 8 和 9、RHEL 8 和 9 以及 Rocky Linux 8 和 9 ) 會存取每個已設定之儲存庫的
updateinfo.xml檔案。注意
如果儲存庫不是由 Red Hat 管理的,則可能沒有
updateinfo.xml檔案。如果沒有updateinfo.xml,將不會套用任何修補程式。 -
updateinfo.xml中的每個更新通知皆包含數個屬性,以表示通知中的套件的屬性,如下表所述。更新通知屬性 屬性 描述 type 對應至修補程式基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的套件類型。
您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
severity 對應至修補程式基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示包含在更新通知中的套件嚴重性。通常僅適用於安全性更新通知。
您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
update_id 表示諮詢 ID,例如 RHSA-2017:0864。諮詢 ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
參考 包含有關更新通知的額外資訊,例如 CVE ID (格式:CVE-2017-1000371) 或 Bugzilla ID (格式:1463241)。CVE ID 與 Bugzilla ID 可用於修補程式基準中的 ApprovedPatches 或 RejectedPatches 屬性。
已更新 對應至修補程式基準中的 ApproveAfterDays。表示包含在更新通知中的發行日期 (更新日期)。目前時間戳記與此屬性值加上
ApproveAfterDays之間的比較,可用於判斷修補程式是否已核准部署。如需已核准修補程式和遭拒的修補程式清單之可接受格式的相關資訊,請參閱 已核准與遭拒的修補程式清單的套件名稱格式。
-
受管節點的產物取決於 SSM Agent。此屬性對應至修補程式基準之 PatchFilter 資料類型中的產品金鑰屬性的值。
-
已根據以下指導方針選取欲更新之套件:
安全性選項 修補程式選擇 AWS 提供的預先定義預設修補基準和自訂修補基準,其中未在任何規則中選取包含非安全性更新核取方塊
對於
updateinfo.xml中的每個更新通知,修補基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。針對 RHEL 7,此工作流程的同等 yum 命令為:
sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y對於 AlmaLinux 8 和 9、RHEL 8 和 9 以及 Rocky Linux 8 和 9,此工作流程的同等 dnf 命令為:
sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y自訂修補程式基準,其中已選取包含非安全性更新核取方塊,且嚴重性清單為
[Critical, Important],分類清單為[Security, Bugfix]除了套用從
updateinfo.xml中選擇的安全性更新外,Patch Manager 也將套用符合修補程式篩選規則的非安全性更新。針對 RHEL 7,此工作流程的同等 yum 命令為:
sudo yum update --security --sec-severity=Critical,Important --bugfix -y對於 AlmaLinux 8 和 9、RHEL 8 和 9 以及 Rocky Linux 8 和 9,此工作流程的同等 dnf 命令為:
sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y
如需有關修補程式合規狀態值的詳細資訊,請參閱 修補程式合規狀態值。
修補基準規則在 SUSE Linux Enterprise Server 上的運作方式
在 SLES 上,每個修補程式皆包含下列屬性,以表示修補程式中的套件的屬性:
-
分類:對應至修補基準之 PatchFilter 資料類型中的分類金鑰屬性的值。表示包含在更新通知中的修補程式類型。
您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
-
嚴重性:對應至修補基準之 PatchFilter 資料類型中的嚴重性金鑰屬性的值。表示修補程式的嚴重性。
您可以使用 AWS CLI 命令describe-patch-properties或 API 操作 來檢視支援的值清單DescribePatchProperties。您也可以在 Systems Manager 主控台之 Create patch baseline (建立修補基準) 頁面或 Edit patch baseline (編輯修補基準) 頁面的 Approval rules (核准規則) 區域中檢視清單。
受管節點的產物取決於 SSM Agent。此屬性對應至修補基準之 PatchFilter 資料類型中的產品金鑰屬性的值。
對於每個修補程式,修補基準做為篩選條件使用,只允許更新中包含合格的套件。如果在套用修補基準定義後,有多個套件可以適用,將使用最新的版本。
如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 已核准與遭拒的修補程式清單的套件名稱格式。
修補基準規則在 Ubuntu Server 上的運作方式
在 Ubuntu Server 上,修補基準服務提供篩選 Priority (優先順序) 與 Section (區段) 欄位。這些欄位通常會顯示所有 Ubuntu Server 套件。為了判斷修補程式是否已被修補基準選取,Patch Manager 會執行下列動作:
-
在 Ubuntu Server 系統上,會執行與
sudo apt-get update相當的命令以重新整理可用套件清單。儲存區未設定,資料從設定於sources清單中的儲存區提取。 -
若有可用於
python3-apt(libapt的 Python 程式庫界面) 的更新,它會升級到最新版本。(這個非安全性套件會升級,即使您未選取 Include nonsecurity updates (包含非安全性更新) 選項)。 -
接著,將套用 GlobalFilters、ApprovalRules、ApprovedPatches 和 RejectedPatches 清單。
注意
因為無法可靠地判斷 Ubuntu Server 更新套件的發行日期,此作業系統不支援自動核准選項。
然而,核准規則也受限於建立或最後更新修補基準時,是否已選取 Include nonsecurity updates (包含非安全性更新) 核取方塊。
如果非安全更新被排除,將會套用隱含規則,以僅選擇安全儲存庫中包含升級的套件。對於每個套件,套件的候選版本 (通常是最新版本) 必須是安全儲存庫的一部分。在這種情形下,對於 Ubuntu Server 來說,修補候選版本僅限於以下儲存庫中包含的修補程式:
-
Ubuntu Server 14.04 LTS︰
trusty-security -
Ubuntu Server 16.04 LTS︰
xenial-security -
Ubuntu Server 18.04 LTS︰
bionic-security -
Ubuntu Server 20.04 LTS︰
focal-security -
Ubuntu Server 20.10 STR︰
groovy-security -
Ubuntu Server 22.04 LTS (
jammy-security) -
Ubuntu Server 23.04 (
lunar-security)
如果包含非安全性更新,則也會考慮來自其他儲存庫的修補程式。
如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 已核准與遭拒的修補程式清單的套件名稱格式。
-
若要檢視 Priority (優先順序) 和 Section (區段) 欄位的內容,請執行下列 aptitude 命令:
注意
您可能必須先在 Ubuntu Server 16 系統上安裝 Aptitude。
aptitude search -F '%p %P %s %t %V#' '~U'
在此命令的回應中,所有可升級的套裝將以此格式回報:
name, priority, section, archive, candidate version
如需有關修補程式合規狀態值的詳細資訊,請參閱 修補程式合規狀態值。
