Cara kerja aturan dasar patch pada sistem berbasis Linux - AWS Systems Manager
Cara kerja aturan dasar patch di Amazon Linux 2 dan Amazon Linux 2023Cara kerja aturan dasar patch pada CentOS StreamCara kerja aturan dasar patch pada Debian ServerCara kerja aturan dasar patch pada macOSCara kerja aturan dasar patch pada Oracle LinuxCara kerja aturan dasar tambalan AlmaLinux,, dan RHELRocky LinuxCara kerja aturan dasar patch pada SUSE Linux Enterprise ServerCara kerja aturan dasar patch pada Ubuntu Server

AWS Systems ManagerChange Managertidak lagi terbuka untuk pelanggan baru. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat perubahan AWS Systems ManagerChange Manager ketersediaan.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja aturan dasar patch pada sistem berbasis Linux

Aturan dalam dasar patch untuk distribusi Linux beroperasi dengan cara yang berbeda berdasarkan jenis distribusi. Tidak seperti pembaruan tambalan pada node Windows Server terkelola, aturan dievaluasi pada setiap node untuk mempertimbangkan repo yang dikonfigurasi pada instance. Patch Manager, alat di AWS Systems Manager, menggunakan manajer paket asli untuk mendorong instalasi tambalan yang disetujui oleh baseline patch.

Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau patch individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti Common Vulnerability Scoring System (CVSS), atau dari metrik yang dirilis oleh National Vulnerability Database (NVD).

Cara kerja aturan dasar patch di Amazon Linux 2 dan Amazon Linux 2023

catatan

Amazon Linux 2023 (AL2023) menggunakan repositori berversi yang dapat dikunci ke versi tertentu melalui satu atau beberapa pengaturan sistem. Untuk semua operasi penambalan pada EC2 instans AL2 023, Patch Manager gunakan versi repositori terbaru, terlepas dari konfigurasi sistem. Untuk informasi selengkapnya, lihat Peningkatan deterministik melalui repositori berversi di Panduan Pengguna Amazon Linux 2023.

Di Amazon Linux 2 dan Amazon Linux 2023, proses pemilihan tambalan adalah sebagai berikut:

  1. Pada node terkelola, perpustakaan YUM (Amazon Linux 2) atau pustaka DNF (Amazon Linux 2023) mengakses updateinfo.xml file untuk setiap repo yang dikonfigurasi.

    Jika tidak ada updateinfo.xml file yang ditemukan, apakah tambalan diinstal tergantung pada pengaturan untuk Sertakan pembaruan non-keamanan dan Persetujuan otomatis. Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

  2. Setiap pemberitahuan pembaruan di updateinfo.xml mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi dalam tipe PatchFilterdata baseline patch. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan dalam tipe PatchFilterdata baseline patch. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasehat, seperti ALIAS-2017-867. ID penasihat dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti ID CVE (format: CVE-2017-1234567). ID CVE dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pemberitahuan pembaruan di updateinfo.xml, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Untuk Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan daftar KEPARAHAN [Critical, Important] dan daftar KLASIFIKASI [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Untuk Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
    catatan

    Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini yum atau dnf perintah di luar. Patch Manager Namun, mereka tidak diinstal oleh Patch Manager operasi yang setara.

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar patch pada CentOS Stream

Repositori CentOS Stream default tidak menyertakan fileupdateinfo.xml. Namun, repositori khusus yang Anda buat atau gunakan mungkin menyertakan file ini. Dalam topik ini, referensi hanya updateinfo.xml berlaku untuk repositori kustom ini.

Pada CentOS Stream, proses pemilihan patch adalah sebagai berikut:

  1. Pada node terkelola, pustaka DNF mengakses updateinfo.xml file, jika ada di repositori khusus, untuk setiap repo yang dikonfigurasi.

    Jika tidak updateinfo.xml ditemukan, yang selalu menyertakan repo default, apakah tambalan diinstal tergantung pada pengaturan untuk Sertakan pembaruan non-keamanan dan Persetujuan otomatis. Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

  2. Jika updateinfo.xml ada, setiap pemberitahuan pembaruan dalam file menyertakan beberapa atribut yang menunjukkan properti paket dalam pemberitahuan, seperti yang dijelaskan dalam tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi dalam tipe PatchFilterdata baseline patch. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan dalam tipe PatchFilterdata baseline patch. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasehat, seperti CVE-2019-17055. ID penasihat dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti ID CVE (format: CVE-2019-17055) atau ID Bugzilla (format: 1463241). ID CVE dan ID Bugzilla dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Dalam semua kasus, produk dari node yang dikelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pemberitahuan pembaruan diupdateinfo.xml, jika ada di repositori khusus, baseline patch digunakan sebagai filter, yang memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk CentOS Stream di mana updateinfo.xml hadir, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal ‐‐sec-severity=Critical ‐‐sec-severity=Important ‐‐bugfix -y

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan daftar KEPARAHAN [Critical, Important] dan daftar KLASIFIKASI [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, jika ada di repositori khusus, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk CentOS Stream di mana updateinfo.xml hadir, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade ‐‐security ‐‐sec-severity=Critical ‐‐sec-severity=Important ‐‐bugfix -y

    Untuk repo default dan repo kustom tanpaupdateinfo.xml, Anda harus memilih kotak centang Sertakan pembaruan non-keamanan untuk memperbarui paket sistem operasi (OS).

    catatan

    Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini yum atau dnf perintah di luar. Patch Manager Namun, mereka tidak diinstal oleh Patch Manager operasi yang setara.

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar patch pada Debian Server

PadaDebian Server, layanan baseline patch menawarkan pemfilteran pada bidang Prioritas dan Bagian. Bidang ini biasanya hadir untuk semua Debian Server paket. Untuk menentukan apakah patch dipilih oleh baseline patch, Patch Manager lakukan hal berikut:

  1. Pada Debian Server sistem, setara sudo apt-get update dijalankan untuk menyegarkan daftar paket yang tersedia. Repo tidak dikonfigurasi dan data ditarik dari repo yang dikonfigurasi dalam daftar sources.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

  3. Selanjutnya GlobalFilters, RejectedPatchesdaftar ApprovalRules, ApprovedPatchesdan diterapkan.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalDebian Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. Dalam hal ini, untukDebian Server, versi kandidat tambalan terbatas pada tambalan yang disertakan dalam repo berikut:

    Repo ini dinamakan sebagai berikut:

    • Debian Server11: debian-security bullseye

    • Debian Server12: debian-security bookworm

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

Untuk melihat konten bidang Prioritas dan Bagian, jalankan perintah aptitude berikut ini:

catatan

Anda mungkin perlu menginstal Aptitude terlebih dahulu pada Debian Server sistem.

aptitude search -F '%p %P %s %t %V#' '~U'

Dalam menanggapi perintah ini, semua paket yang dapat dimutakhirkan dilaporkan dalam format ini: 

name, priority, section, archive, candidate version

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar patch pada macOS

Pada macOS, proses pemilihan patch adalah sebagai berikut:

  1. Pada node terkelola, Patch Manager mengakses konten InstallHistory.plist file yang diurai dan mengidentifikasi nama dan versi paket.

    Untuk detail tentang proses penguraian, lihat tab macOS dalam Cara menginstal patch.

  2. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

  3. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pembaruan paket yang tersedia, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Garis dasar tambalan khusus di mana kotak centang Sertakan pembaruan non-keamanan dipilih

    Selain menerapkan pembaruan keamanan yang diidentifikasi dengan menggunakan InstallHistory.plist , Patch Manager menerapkan pembaruan non-keamanan yang memenuhi aturan filter patch.

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar patch pada Oracle Linux

Pada Oracle Linux, proses pemilihan patch adalah sebagai berikut:

  1. Pada node terkelola, pustaka YUM mengakses updateinfo.xml file untuk setiap repo yang dikonfigurasi.

    catatan

    file updateinfo.xml mungkin tidak tersedia jika repo tidak dikelola oleh Oracle. Jika tidak updateinfo.xml ditemukan, apakah patch diinstal tergantung pada pengaturan untuk Sertakan pembaruan non-keamanan dan Persetujuan otomatis. Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

  2. Setiap pemberitahuan pembaruan di updateinfo.xml mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi dalam tipe PatchFilterdata baseline patch. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan dalam tipe PatchFilterdata baseline patch. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasehat, seperti CVE-2019-17055. ID penasihat dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti ID CVE (format: CVE-2019-17055) atau ID Bugzilla (format: 1463241). ID CVE dan ID Bugzilla dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pemberitahuan pembaruan di updateinfo.xml, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk node terkelola versi 7, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    Untuk node terkelola versi 8 dan 9, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan daftar KEPARAHAN [Critical, Important] dan daftar KLASIFIKASI [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk node terkelola versi 7, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Untuk node terkelola versi 8 dan 9, perintah dnf yang setara untuk alur kerja ini adalah: 

    sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y
    catatan

    Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini yum atau dnf perintah di luar. Patch Manager Namun, mereka tidak diinstal oleh Patch Manager operasi yang setara.

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar tambalan AlmaLinux,, dan RHELRocky Linux

Pada AlmaLinux, Red Hat Enterprise Linux (RHEL), danRocky Linux, proses pemilihan tambalan adalah sebagai berikut:

  1. Pada node terkelola, perpustakaan YUM (RHEL7) atau pustaka DNF (AlmaLinux 8 dan 9, RHEL 8, 9, dan 10, dan Rocky Linux 8 dan 9) mengakses updateinfo.xml file untuk setiap repo yang dikonfigurasi.

    catatan

    file updateinfo.xml mungkin tidak tersedia jika repo tidak dikelola oleh Red Hat. Jika tidak ada updateinfo.xml yang ditemukan, tidak ada patch yang diterapkan.

  2. Setiap pemberitahuan pembaruan di updateinfo.xml mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi dalam tipe PatchFilterdata baseline patch. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan dalam tipe PatchFilterdata baseline patch. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasehat, seperti RHSA-2017:0864. ID penasihat dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti ID CVE (format: CVE-2017-1000371) atau ID Bugzilla (format: 1463241). ID CVE dan ID Bugzilla dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih dalam aturan apa pun

    Untuk setiap pemberitahuan pembaruan di updateinfo.xml, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk RHEL 7, perintah yum setara untuk alur kerja ini adalah:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Untuk AlmaLinux 8 dan 9, RHEL 8, 9, dan 10, dan Rocky Linux 8 dan 9, perintah dnf setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan daftar KEPARAHAN [Critical, Important] dan daftar KLASIFIKASI [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk RHEL 7, perintah yum setara untuk alur kerja ini adalah:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Untuk AlmaLinux 8 dan 9, RHEL 8, 9, dan 10, dan Rocky Linux 8 dan 9, perintah dnf setara untuk alur kerja ini adalah:

    sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y
    catatan

    Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini yum atau dnf perintah di luar. Patch Manager Namun, mereka tidak diinstal oleh Patch Manager operasi yang setara.

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar patch pada SUSE Linux Enterprise Server

Pada SLES, setiap patch mencakup atribut berikut ini yang menunjukkan properti paket dalam patch tersebut:

  • Kategori: Sesuai dengan nilai atribut kunci Klasifikasi dalam tipe PatchFilterdata baseline patch. Menunjukkan jenis patch yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.

  • Keparahan: Sesuai dengan nilai atribut kunci Keparahan dalam tipe PatchFilterdata baseline patch. Menunjukkan tingkat kepelikan patch.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.

Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

Untuk setiap patch, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

Cara kerja aturan dasar patch pada Ubuntu Server

PadaUbuntu Server, layanan baseline patch menawarkan pemfilteran pada bidang Prioritas dan Bagian. Bidang ini biasanya hadir untuk semua Ubuntu Server paket. Untuk menentukan apakah patch dipilih oleh baseline patch, Patch Manager lakukan hal berikut:

  1. Pada Ubuntu Server sistem, setara sudo apt-get update dijalankan untuk menyegarkan daftar paket yang tersedia. Repo tidak dikonfigurasi dan data ditarik dari repo yang dikonfigurasi dalam daftar sources.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

  3. Selanjutnya GlobalFilters, RejectedPatchesdaftar ApprovalRules, ApprovedPatchesdan diterapkan.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. Dalam hal ini, untukUbuntu Server, versi kandidat tambalan terbatas pada tambalan yang disertakan dalam repo berikut:

    • Ubuntu Server16.04 LTS: xenial-security

    • Ubuntu Server18.04 LTS: bionic-security

    • Ubuntu Server20.04 LTS: focal-security

    • Ubuntu Server22,04 LTS () jammy-security

    • Ubuntu Server24.04 LTS () noble-security

    • Ubuntu Server25.04 () plucky-security

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

Untuk melihat konten bidang Prioritas dan Bagian, jalankan perintah aptitude berikut ini:

catatan

Anda mungkin perlu menginstal Aptitude terlebih dahulu pada Ubuntu Server 16 sistem.

aptitude search -F '%p %P %s %t %V#' '~U'

Dalam menanggapi perintah ini, semua paket yang dapat dimutakhirkan dilaporkan dalam format ini: 

name, priority, section, archive, candidate version

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.