Cara menginstal patch - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara menginstal patch

Patch Manager, alat di AWS Systems Manager, menggunakan mekanisme bawaan yang sesuai untuk jenis sistem operasi untuk menginstal pembaruan pada node terkelola. Misalnya, padaWindows Server, Windows Update API digunakan, dan di Amazon Linux 2 manajer yum paket digunakan.

Patch Managertidak menginstal paket baru yang menggantikan paket usang yang saat ini diinstal. (Pengecualian: Paket baru adalah ketergantungan dari pembaruan paket lain yang sedang diinstal, atau paket baru memiliki nama yang sama dengan paket usang.) Sebagai gantinya, Patch Manager laporkan dan instal pembaruan yang tersedia untuk paket yang diinstal. Pendekatan ini membantu mencegah perubahan tak terduga pada fungsionalitas sistem Anda yang mungkin terjadi ketika satu paket menggantikan yang lain.

Jika Anda perlu menghapus paket yang sudah usang dan menginstal penggantinya, Anda mungkin perlu menggunakan skrip khusus atau menggunakan perintah manajer paket di luar operasi standarPatch Manager.

Pilih dari tab berikut untuk mempelajari cara Patch Manager menginstal patch pada sistem operasi.

Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, and Amazon Linux 2023

Di node yang dikelola Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022, dan Amazon Linux 2023, alur kerja penginstalan tambalan adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. API pembaruan YUM (Amazon Linux 1, Amazon Linux 2) atau API pembaruan DNF (Amazon Linux 2022, Amazon Linux 2023) diterapkan ke tambalan yang disetujui sebagai berikut:

    • Untuk garis dasar patch default yang telah ditentukan yang disediakan oleh AWS, hanya tambalan yang ditentukan dalam yang updateinfo.xml diterapkan (hanya pembaruan keamanan). Ini karena kotak centang Sertakan pembaruan nonkeamanan tidak dipilih. Garis dasar yang telah ditentukan setara dengan baseline kustom dengan yang berikut:

      • Kotak centang Sertakan pembaruan nonkeamanan tidak dipilih

      • Daftar KEPARAHAN [Critical, Important]

      • Daftar KLASIFIKASI [Security, Bugfix]

      Untuk Amazon Linux 1 dan Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:

      sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

      Untuk Amazon Linux 2022 dan Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:

      sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

      Jika kotak centang Sertakan pembaruan nonkeamanan dipilih, semua tambalan updateinfo.xml dan yang tidak masuk updateinfo.xml akan diterapkan (pembaruan keamanan dan nonkeamanan).

      Untuk Amazon Linux 1 dan Amazon Linux 2, jika baseline dengan Include pembaruan nonsecurity dipilih, memiliki daftar KEPARAHAN [Critical, Important] dan daftar KLASIFIKASI[Security, Bugfix], perintah yum yang setara adalah:

      sudo yum update --security --sec-severity=Critical,Important --bugfix -y

      Untuk Amazon Linux 2022, dan Amazon Linux 2023, perintah dnf yang setara adalah:

      sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
      catatan

      Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini yum atau dnf perintah di luar. Patch Manager Namun, mereka tidak diinstal oleh Patch Manager operasi yang setara.

      Detail tambalan tambahan untuk Amazon Linux 2022 dan Amazon Linux 2023
      Support untuk tingkat keparahan 'Tidak Ada'

      Amazon Linux 2022 dan Amazon Linux 2023 juga mendukung tingkat keparahan patchNone, yang diakui oleh manajer paket DNF.

      Support untuk tingkat keparahan 'Medium'

      Untuk Amazon Linux 2022 dan Amazon Linux 2023, tingkat keparahan patch Medium setara dengan tingkat keparahan Moderate yang mungkin ditentukan di beberapa repositori eksternal. Jika Anda menyertakan patch Medium keparahan di baseline patch, patch Moderate keparahan dari patch eksternal juga diinstal pada instance.

      Saat Anda menanyakan data kepatuhan menggunakan tindakan API DescribeInstancePatches, pemfilteran untuk tingkat keparahan akan Medium melaporkan tambalan dengan tingkat keparahan keduanya Medium dan. Moderate

      Penanganan ketergantungan transitif untuk Amazon Linux 2022 dan Amazon Linux 2023

      Untuk Amazon Linux 2022 dan Amazon Linux 2023, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda daripada pemasangan perintah yang setara. dnf Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).

      Misalnya, dnf upgrade-minimal --security menginstal versi minimal dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal versi terbaru yang tersedia dari dependensi transitif yang sama.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

CentOS and CentOS Aliran

Pada CentOS dan node CentOS Stream terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

    Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  2. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  3. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  4. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  5. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  6. API pembaruan YUM (pada versi CentOS 6.x dan 7.x) atau pembaruan DNF (pada CentOS CentOS Stream 8 dan) diterapkan ke tambalan yang disetujui.

    catatan

    Untuk CentOS, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda dari perintah yang setara yang diinstal. dnf Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).

    Misalnya, dnf upgrade-minimal --security menginstal versi minimal dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal versi terbaru yang tersedia dari dependensi transitif yang sama.

  7. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

Debian Server and Raspberry Pi OS

Pada Debian Server dan Raspberry Pi OS (sebelumnya Raspbian) instance, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

    penting

    Hanya pada Debian Server 8: Karena beberapa node terkelola Debian Server 8.* merujuk ke repositori paket usang (jessie-backports), Patch Manager lakukan langkah-langkah tambahan berikut untuk memastikan bahwa operasi penambalan berhasil:

    1. Pada node terkelola Anda, referensi ke jessie-backports repositori dikomentari dari daftar lokasi sumber (). /etc/apt/sources.list.d/jessie-backports Akibatnya, tidak ada upaya yang dilakukan untuk mengunduh patch dari lokasi tersebut.

    2. Kunci penandatanganan pembaruan keamanan Stretch diimpor. Kunci ini memberikan izin yang diperlukan untuk operasi pembaruan dan penginstalan pada distribusi Debian Server 8.*.

    3. apt-getOperasi dijalankan pada titik ini untuk memastikan bahwa versi terbaru diinstal sebelum proses penambalan dimulai. python3-apt

    4. Setelah proses instalasi selesai, referensi ke repositori jessie-backports dipulihkan dan kunci penandatanganan dihapus dari keyring sumber apt. Hal ini dilakukan untuk mempertahankan konfigurasi sistem seperti keadaan sebelum operasi patching.

    Lain kali Patch Manager memperbarui sistem, proses yang sama diulang.

  3. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  4. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalDebian Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    catatan

    Untuk Debian Server danRaspberry Pi OS, versi kandidat patch terbatas pada tambalan yang disertakan di debian-security dalamnya.

  5. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  6. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  7. Pustaka APT digunakan untuk memutakhirkan paket.

    catatan

    Patch Managertidak mendukung penggunaan Pin-Priority opsi APT untuk menetapkan prioritas ke paket. Patch Managermenggabungkan pembaruan yang tersedia dari semua repositori yang diaktifkan dan memilih pembaruan terbaru yang cocok dengan baseline untuk setiap paket yang diinstal.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

macOS

Pada node macOS terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Daftar properti /Library/Receipts/InstallHistory.plist adalah catatan perangkat lunak yang telah diinstal dan dimutakhirkan menggunakan pengelola paket softwareupdate dan installer. Menggunakan alat baris perintah pkgutil (untuk installer) dan pengelola paket softwareupdate, perintah CLI dijalankan untuk mengurai daftar ini.

    Untukinstaller, respons terhadap perintah CLI mencakuppackage name,,version, volumelocation, dan install-time detail, tetapi hanya package name dan version digunakan oleh. Patch Manager

    Untuk softwareupdate, respon terhadap perintah CLI meliputi nama paket (display name), version, dan date, tetapi hanya nama paket dan versi yang digunakan oleh Patch Manager.

    Untuk Brew dan Brew Cask, Homebrew tidak mendukung perintahnya berjalan dalam kendali pengguna root. Akibatnya, Patch Manager kueri untuk dan menjalankan perintah Homebrew baik sebagai pemilik direktori Homebrew atau sebagai pengguna valid milik grup pemilik direktori Homebrew. Perintahnya mirip dengan softwareupdate dan installer dan dijalankan melalui sub-proses Python untuk mengumpulkan data paket, dan outputnya diurai untuk mengidentifikasi nama dan versi paket.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. Memanggil CLI paket yang sesuai pada node terkelola untuk memproses tambalan yang disetujui sebagai berikut:

    catatan

    installer tidak memiliki fungsi untuk memeriksa dan menginstal pembaruan. Oleh karena ituinstaller, untuk, Patch Manager hanya melaporkan paket mana yang diinstal. Akibatnya, paket installer tidak pernah dilaporkan sebagai Missing.

    • Untuk baseline patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih, hanya pembaruan keamanan yang diterapkan.

    • Untuk garis dasar tambalan khusus di mana kotak centang Sertakan pembaruan non-keamanan dipilih, pembaruan keamanan dan nonkeamanan diterapkan.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

Oracle Linux

Pada node Oracle Linux terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. Pada node terkelola versi 7, API pembaruan YUM diterapkan ke tambalan yang disetujui sebagai berikut:

    • Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih, hanya tambalan yang ditentukan dalam updateinfo.xml yang diterapkan (hanya pembaruan keamanan).

      Perintah setara yum untuk alur kerja ini adalah:

      sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    • Untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih, tambalan yang masuk updateinfo.xml dan yang tidak updateinfo.xml ada diterapkan (pembaruan keamanan dan nonkeamanan).

      Perintah setara yum untuk alur kerja ini adalah:

      sudo yum update --security --bugfix -y

      Pada node terkelola versi 8 dan 9, API pembaruan DNF diterapkan ke tambalan yang disetujui sebagai berikut:

      • Untuk baseline patch default yang telah ditentukan yang disediakan oleh AWS, dan untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih, hanya tambalan yang ditentukan dalam updateinfo.xml yang diterapkan (hanya pembaruan keamanan).

        Perintah setara yum untuk alur kerja ini adalah:

        sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important
        catatan

        Untuk Oracle Linux, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda dari perintah yang setara menginstal. dnf Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).

        Misalnya, dnf upgrade-minimal --security menginstal versi minimal dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal versi terbaru yang tersedia dari dependensi transitif yang sama.

      • Untuk baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih, tambalan yang masuk updateinfo.xml dan yang tidak updateinfo.xml ada diterapkan (pembaruan keamanan dan nonkeamanan).

        Perintah setara yum untuk alur kerja ini adalah:

        sudo dnf upgrade --security --bugfix
    catatan

    Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini yum atau dnf perintah di luar. Patch Manager Namun, mereka tidak diinstal oleh Patch Manager operasi yang setara.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

AlmaLinux, RHEL, and Linux Rocky

Pada AlmaLinux,Red Hat Enterprise Linux, dan node Rocky Linux terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. API pembaruan YUM (pada RHEL 7) atau API pembaruan DNF (pada AlmaLinux 8 dan 9, RHEL 8, 9, dan 10, dan Rocky Linux 8 dan 9) diterapkan pada tambalan yang disetujui sesuai dengan aturan berikut:

     

    Skenario 1: Pembaruan non-keamanan dikecualikan

    • Berlaku untuk: Garis dasar patch default yang telah ditentukan yang disediakan oleh AWS dan baseline patch kustom.

    • Sertakan kotak centang pembaruan non-keamanan: Tidak dipilih.

    • Patch diterapkan: Patch yang ditentukan dalam updateinfo.xml (hanya pembaruan keamanan) diterapkan hanya jika keduanya cocok dengan konfigurasi baseline patch dan ditemukan di repo yang dikonfigurasi.

      Dalam beberapa kasus, tambalan yang ditentukan updateinfo.xml mungkin tidak lagi tersedia di repo yang dikonfigurasi. Repo yang dikonfigurasi biasanya hanya memiliki versi terbaru dari tambalan, yang merupakan roll-up kumulatif dari semua pembaruan sebelumnya, tetapi versi terbaru mungkin tidak cocok dengan aturan dasar tambalan dan dihilangkan dari operasi penambalan.

    • Perintah: Untuk RHEL 7, perintah yum yang setara untuk alur kerja ini adalah: 

      sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

      Untuk AlmaLinux, RHEL 8, danRocky Linux, perintah dnf yang setara untuk alur kerja ini adalah:

      sudo dnf update-minimal --sec-severity=Critical --bugfix -y ; \
sudo dnf update-minimal --sec-severity=Important --bugfix -y
      catatan

      Untuk AlmaLinux,RHEL, dan Rocky Linux Rocky Linux, Patch Manager mungkin menginstal versi dependensi transitif yang berbeda dari perintah yang setara yang diinstal. dnf Dependensi transitif adalah paket yang diinstal secara otomatis untuk memenuhi persyaratan paket lain (dependensi dependensi).

      Misalnya, dnf upgrade-minimal --security menginstal versi minimal dependensi transitif yang diperlukan untuk menyelesaikan masalah keamanan yang diketahui, sementara Patch Manager menginstal versi terbaru yang tersedia dari dependensi transitif yang sama.

    Skenario 2: Pembaruan non-keamanan disertakan

    • Apel ke: Garis dasar tambalan khusus.

    • Sertakan kotak centang pembaruan non-keamanan: Dipilih.

    • Patch diterapkan: Patch in updateinfo.xml dan yang tidak masuk updateinfo.xml diterapkan (pembaruan keamanan dan nonsecurity).

    • Perintah: Untuk RHEL 7, perintah yum yang setara untuk alur kerja ini adalah:

      sudo yum update --security --bugfix -y

      Untuk AlmaLinux 8 dan 9, RHEL 8 dan 9, dan Rocky Linux 8 dan 9, perintah dnf setara untuk alur kerja ini adalah:

      sudo dnf update --security --bugfix -y
    catatan

    Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini yum atau dnf perintah di luar. Patch Manager Namun, mereka tidak diinstal oleh Patch Manager operasi yang setara.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

SLES

Pada node terkelola SUSE Linux Enterprise Server (SLES), alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  3. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

  4. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  5. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  6. Jika beberapa versi patch disetujui, versi yang terbaru diterapkan.

  7. API pembaruan Zypper diterapkan untuk patch yang disetujui.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

Ubuntu Server

Pada node Ubuntu Server terkelola, alur kerja instalasi patch adalah sebagai berikut:

  1. Jika daftar patch ditentukan menggunakan URL https atau URL ala jalur Amazon Simple Storage Service (Amazon S3) menggunakan parameter InstallOverrideList untuk dokumen AWS-RunPatchBaseline atau AWS-RunPatchBaselineAssociation, patch yang terdaftar diinstal dan langkah 2-7 dilewati.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

  3. Terapkan GlobalFiltersseperti yang ditentukan dalam baseline patch, hanya menyimpan paket yang memenuhi syarat untuk diproses lebih lanjut.

  4. Terapkan ApprovalRulesseperti yang ditentukan dalam baseline patch. Setiap aturan persetujuan dapat menentukan paket sebagai disetujui.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan.

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    Namun, aturan persetujuan juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    catatan

    Untuk setiap versiUbuntu Server, versi kandidat tambalan terbatas pada tambalan yang merupakan bagian dari repo terkait untuk versi tersebut, sebagai berikut:

    • Ubuntu Server14.04 LTS: trusty-security

    • Ubuntu Server16.04 LTS: xenial-security

    • Ubuntu Server18.04 LTS: bionic-security

    • Ubuntu Server20.04 LTS): focal-security

    • Ubuntu Server20.10 STR: groovy-security

    • Ubuntu Server22.04 LTS: jammy-security

    • Ubuntu Server23.04 () lunar-security

    • Ubuntu Server23.10 () mantic-security

    • Ubuntu Server24.04 LTS () noble-security

    • Ubuntu Server24.10 () oracular-security

    • Ubuntu Server25.04 () plucky-security

  5. Terapkan ApprovedPatchesseperti yang ditentukan dalam baseline patch. Tambalan yang disetujui disetujui untuk diperbarui meskipun dibuang oleh GlobalFiltersatau jika tidak ada aturan persetujuan yang ditentukan dalam ApprovalRulesmemberikan persetujuan.

  6. Terapkan RejectedPatchesseperti yang ditentukan dalam baseline patch. Patch yang ditolak akan dihapus dari daftar patch yang disetujui dan tidak akan diterapkan.

  7. Pustaka APT digunakan untuk memutakhirkan paket.

    catatan

    Patch Managertidak mendukung penggunaan Pin-Priority opsi APT untuk menetapkan prioritas ke paket. Patch Managermenggabungkan pembaruan yang tersedia dari semua repositori yang diaktifkan dan memilih pembaruan terbaru yang cocok dengan baseline untuk setiap paket yang diinstal.

  8. Node terkelola di-boot ulang jika ada pembaruan yang diinstal. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.)

Windows Server

Ketika operasi patching dilakukan pada node Windows Server terkelola, node meminta snapshot dari baseline patch yang sesuai dari Systems Manager. snapshot ini berisi daftar semua pembaruan yang tersedia di dasar patch yang disetujui untuk deployment. Daftar pembaruan ini dikirim ke Windows Update API, yang menentukan pembaruan mana yang berlaku untuk node terkelola dan menginstalnya sesuai kebutuhan. Windows hanya mengizinkan versi KB terbaru yang tersedia untuk diinstal. Patch Managermenginstal versi terbaru KB saat KB, atau versi KB sebelumnya, cocok dengan baseline patch yang diterapkan. Jika ada pembaruan yang diinstal, node terkelola akan di-boot ulang setelahnya, sebanyak yang diperlukan untuk menyelesaikan semua tambalan yang diperlukan. (Pengecualian: Jika RebootOption parameter disetel ke NoReboot dalam AWS-RunPatchBaseline dokumen, node terkelola tidak di-boot ulang setelah Patch Manager dijalankan. Untuk informasi lebih lanjut, lihatNama parameter: RebootOption.) Ringkasan operasi penambalan dapat ditemukan di output Run Command permintaan. Log tambahan dapat ditemukan pada node terkelola di %PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs folder.

Karena API Pembaruan Windows digunakan untuk mengunduh dan menginstal KBs, semua pengaturan Kebijakan Grup untuk Pembaruan Windows dihormati. Tidak ada pengaturan Kebijakan Grup yang diperlukan untuk digunakanPatch Manager, tetapi pengaturan apa pun yang telah Anda tetapkan akan diterapkan, seperti mengarahkan node terkelola ke server Windows Server Update Services (WSUS).

catatan

Secara default, Windows mengunduh semua KBs dari situs Pembaruan Windows Microsoft karena Patch Manager menggunakan API Pembaruan Windows untuk mendorong unduhan dan penginstalan KBs. Akibatnya, node yang dikelola harus dapat mencapai situs Pembaruan Microsoft Windows atau tambalan akan gagal. Atau, Anda dapat mengonfigurasi server WSUS untuk berfungsi sebagai repositori KB dan mengonfigurasi node terkelola Anda untuk menargetkan server WSUS menggunakan Kebijakan Grup.

Patch Managermungkin mereferensikan KB IDs saat membuat baseline tambalan khusus untukWindows Server, seperti ketika daftar tambalan yang Disetujui atau daftar tambalan Ditolak disertakan konfigurasi dasar. Hanya pembaruan yang diberi ID KB di Pembaruan Microsoft Windows atau server WSUS yang diinstal olehPatch Manager. Pembaruan yang tidak memiliki ID KB tidak termasuk dalam operasi penambalan.

Untuk informasi tentang membuat baseline patch kustom, lihat topik berikut: