Cara kerja aturan dasar patch pada sistem berbasis Linux - AWS Systems Manager
Cara kerja aturan dasar patch di Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 dan Amazon Linux 2023Cara kerja aturan dasar tambalan di CentOS dan CentOS StreamCara kerja aturan dasar tambalan dan Debian ServerRaspberry Pi OSCara kerja aturan dasar patch pada macOSCara kerja aturan dasar patch pada Oracle LinuxCara kerja aturan dasar patch AlmaLinux,, dan RHELRocky LinuxCara kerja aturan dasar patch pada SUSE Linux Enterprise ServerCara kerja aturan dasar patch pada Ubuntu Server

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja aturan dasar patch pada sistem berbasis Linux

Aturan dalam dasar patch untuk distribusi Linux beroperasi dengan cara yang berbeda berdasarkan jenis distribusi. Tidak seperti pembaruan tambalan pada node Windows Server terkelola, aturan dievaluasi pada setiap node untuk mempertimbangkan repo yang dikonfigurasi pada instance. Patch Manager, alat di AWS Systems Manager, menggunakan manajer paket asli untuk mendorong instalasi tambalan yang disetujui oleh baseline patch.

Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau patch individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti Common Vulnerability Scoring System (CVSS), atau dari metrik yang dirilis oleh National Vulnerability Database (NVD).

Cara kerja aturan dasar patch di Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 dan Amazon Linux 2023

catatan

Amazon Linux 2023 (AL2023) menggunakan repositori berversi yang dapat dikunci ke versi tertentu melalui satu atau beberapa pengaturan sistem. Untuk semua operasi penambalan pada EC2 instans AL2 023, Patch Manager gunakan versi repositori terbaru, terlepas dari konfigurasi sistem. Untuk informasi selengkapnya, lihat Peningkatan deterministik melalui repositori berversi di Panduan Pengguna Amazon Linux 2023.

Di Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 dan Amazon Linux 2023, proses pemilihan tambalan adalah sebagai berikut:

  1. Pada node yang dikelola, perpustakaan YUM (Amazon Linux 1 dan, Amazon Linux 2) atau pustaka DNF (Amazon Linux 2022 dan Amazon Linux 2023) mengakses updateinfo.xml file untuk setiap repo yang dikonfigurasi.

    Jika tidak ada updateinfo.xml file yang ditemukan, apakah patch diinstal tergantung pada pengaturan untuk Sertakan pembaruan non-keamanan dan Persetujuan otomatis. Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

  2. Setiap pemberitahuan pembaruan di updateinfo.xml mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi dalam tipe PatchFilterdata baseline patch. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan dalam tipe PatchFilterdata baseline patch. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasehat, seperti ALIAS-2017-867. ID penasihat dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti ID CVE (format: CVE-2017-1234567). ID CVE dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pemberitahuan pembaruan di updateinfo.xml, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk Amazon Linux 1 dan Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Untuk Amazon Linux 2022 dan Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan daftar KEPARAHAN [Critical, Important] dan daftar KLASIFIKASI [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk Amazon Linux dan Amazon Linux 2, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Untuk Amazon Linux 2022 dan Amazon Linux 2023, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
    catatan

    Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini yum atau dnf perintah di luar. Patch Manager Namun, mereka tidak diinstal oleh Patch Manager operasi yang setara.

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar tambalan di CentOS dan CentOS Stream

CentOS dan repositori CentOS Stream default tidak menyertakan file. updateinfo.xml Namun, repositori khusus yang Anda buat atau gunakan mungkin menyertakan file ini. Dalam topik ini, referensi hanya updateinfo.xml berlaku untuk repositori khusus ini.

Pada CentOS danCentOS Stream, proses pemilihan tambalan adalah sebagai berikut:

  1. Pada node terkelola, perpustakaan YUM (pada versi CentOS 6.x dan 7.x) atau pustaka DNF (pada CentOS 8.x dan CentOS Stream) updateinfo.xml mengakses file, jika ada di repositori khusus, untuk setiap repo yang dikonfigurasi.

    Jika tidak updateinfo.xml ditemukan, yang selalu menyertakan repo default, apakah tambalan diinstal tergantung pada pengaturan untuk Sertakan pembaruan non-keamanan dan Persetujuan otomatis. Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

  2. Jika updateinfo.xml ada, setiap pemberitahuan pembaruan dalam file menyertakan beberapa atribut yang menunjukkan properti paket dalam pemberitahuan, seperti yang dijelaskan dalam tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi dalam tipe PatchFilterdata baseline patch. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan dalam tipe PatchFilterdata baseline patch. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasehat, seperti CVE-2019-17055. ID penasihat dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti ID CVE (format: CVE-2019-17055) atau ID Bugzilla (format: 1463241). ID CVE dan ID Bugzilla dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Dalam semua kasus, produk dari node yang dikelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pemberitahuan pembaruan diupdateinfo.xml, jika ada di repositori khusus, baseline patch digunakan sebagai filter, yang memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk CentOS 6 dan 7 di mana updateinfo.xml ada, perintah yum setara untuk alur kerja ini adalah:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Untuk CentOS 8 dan CentOS Stream di mana updateinfo.xml ada, perintah dnf setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan daftar KEPARAHAN [Critical, Important] dan daftar KLASIFIKASI [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, jika ada di repositori khusus, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk CentOS 6 dan 7 di mana updateinfo.xml ada, perintah yum setara untuk alur kerja ini adalah:

    sudo yum update --sec-severity=Critical,Important --bugfix -y

    Untuk CentOS 8 dan CentOS Stream di mana updateinfo.xml ada, perintah dnf setara untuk alur kerja ini adalah:

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y

    Untuk repo default dan repo kustom tanpaupdateinfo.xml, Anda harus memilih kotak centang Sertakan pembaruan non-keamanan untuk memperbarui paket sistem operasi (OS).

    catatan

    Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini yum atau dnf perintah di luar. Patch Manager Namun, mereka tidak diinstal oleh Patch Manager operasi yang setara.

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar tambalan dan Debian ServerRaspberry Pi OS

Pada Debian Server dan Raspberry Pi OS (sebelumnya Raspbian), layanan baseline patch menawarkan pemfilteran pada bidang Prioritas dan Bagian. Bidang ini biasanya hadir untuk semua Debian Server dan Raspberry Pi OS paket. Untuk menentukan apakah patch dipilih oleh baseline patch, Patch Manager lakukan hal berikut:

  1. On Debian Server dan Raspberry Pi OS sistem, setara dengan sudo apt-get update dijalankan untuk menyegarkan daftar paket yang tersedia. Repo tidak dikonfigurasi dan data ditarik dari repo yang dikonfigurasi dalam daftar sources.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

    penting

    Hanya pada Debian Server 8: Karena Debian Server 8.* sistem operasi mengacu pada repositori paket usang (jessie-backports), Patch Manager melakukan langkah-langkah tambahan berikut untuk memastikan bahwa operasi patching berhasil:

    1. Pada node terkelola Anda, referensi ke jessie-backports repositori dikomentari dari daftar lokasi sumber (). /etc/apt/sources.list.d/jessie-backports Akibatnya, tidak ada upaya yang dilakukan untuk mengunduh patch dari lokasi tersebut.

    2. Kunci penandatanganan pembaruan keamanan Stretch diimpor. Kunci ini memberikan izin yang diperlukan untuk operasi pembaruan dan penginstalan pada distribusi Debian Server 8.*.

    3. apt-getOperasi dijalankan pada titik ini untuk memastikan bahwa versi terbaru diinstal sebelum proses penambalan dimulai. python3-apt

    4. Setelah proses instalasi selesai, referensi ke repositori jessie-backports dipulihkan dan kunci penandatanganan dihapus dari keyring sumber apt. Hal ini dilakukan untuk mempertahankan konfigurasi sistem seperti keadaan sebelum operasi patching.

  3. Selanjutnya GlobalFilters, RejectedPatchesdaftar ApprovalRules, ApprovedPatchesdan diterapkan.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalDebian Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. Dalam hal ini, untukDebian Server, versi kandidat tambalan terbatas pada tambalan yang disertakan dalam repo berikut:

    Repo ini dinamakan sebagai berikut:

    • Debian Server8: debian-security jessie

    • Debian Serverdan Raspberry Pi OS 9: debian-security stretch

    • Debian Server10: debian-security buster

    • Debian Server11: debian-security bullseye

    • Debian Server12: debian-security bookworm

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

Untuk melihat konten bidang Prioritas dan Bagian, jalankan perintah aptitude berikut ini:

catatan

Anda mungkin perlu menginstal Aptitude terlebih dahulu pada Debian Server sistem.

aptitude search -F '%p %P %s %t %V#' '~U'

Dalam menanggapi perintah ini, semua paket yang dapat dimutakhirkan dilaporkan dalam format ini: 

name, priority, section, archive, candidate version

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar patch pada macOS

Pada macOS, proses pemilihan patch adalah sebagai berikut:

  1. Pada node terkelola, Patch Manager mengakses konten InstallHistory.plist file yang diurai dan mengidentifikasi nama dan versi paket.

    Untuk detail tentang proses penguraian, lihat tab macOS dalam Cara menginstal patch.

  2. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

  3. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pembaruan paket yang tersedia, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Garis dasar tambalan khusus di mana kotak centang Sertakan pembaruan non-keamanan dipilih

    Selain menerapkan pembaruan keamanan yang diidentifikasi dengan menggunakan InstallHistory.plist , Patch Manager menerapkan pembaruan non-keamanan yang memenuhi aturan filter patch.

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar patch pada Oracle Linux

Pada Oracle Linux, proses pemilihan patch adalah sebagai berikut:

  1. Pada node terkelola, perpustakaan YUM mengakses updateinfo.xml file untuk setiap repo yang dikonfigurasi.

    catatan

    file updateinfo.xml mungkin tidak tersedia jika repo tidak dikelola oleh Oracle. Jika tidak updateinfo.xml ditemukan, apakah patch diinstal tergantung pada pengaturan untuk Sertakan pembaruan non-keamanan dan Persetujuan otomatis. Sebagai contoh, jika pembaruan non-keamanan diizinkan, pembaruan akan diinstal saat waktu persetujuan otomatis tiba.

  2. Setiap pemberitahuan pembaruan di updateinfo.xml mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi dalam tipe PatchFilterdata baseline patch. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan dalam tipe PatchFilterdata baseline patch. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasehat, seperti CVE-2019-17055. ID penasihat dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti ID CVE (format: CVE-2019-17055) atau ID Bugzilla (format: 1463241). ID CVE dan ID Bugzilla dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih

    Untuk setiap pemberitahuan pembaruan di updateinfo.xml, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk node terkelola versi 7, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    Untuk node terkelola versi 8 dan 9, perintah dnf yang setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan daftar KEPARAHAN [Critical, Important] dan daftar KLASIFIKASI [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk node terkelola versi 7, perintah yum yang setara untuk alur kerja ini adalah:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Untuk node terkelola versi 8 dan 9, perintah dnf yang setara untuk alur kerja ini adalah: 

    sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y
    catatan

    Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini yum atau dnf perintah di luar. Patch Manager Namun, mereka tidak diinstal oleh Patch Manager operasi yang setara.

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar patch AlmaLinux,, dan RHELRocky Linux

Pada AlmaLinux, Red Hat Enterprise Linux (RHEL), danRocky Linux, proses pemilihan tambalan adalah sebagai berikut:

  1. Pada node terkelola, perpustakaan YUM (RHEL7) atau pustaka DNF (AlmaLinux 8 dan 9, RHEL 8, 9, dan 10, dan Rocky Linux 8 dan 9) mengakses updateinfo.xml file untuk setiap repo yang dikonfigurasi.

    catatan

    file updateinfo.xml mungkin tidak tersedia jika repo tidak dikelola oleh Red Hat. Jika tidak ada updateinfo.xml yang ditemukan, tidak ada patch yang diterapkan.

  2. Setiap pemberitahuan pembaruan di updateinfo.xml mencakup beberapa atribut yang menunjukkan properti paket dalam pemberitahuan tersebut, seperti yang dijelaskan di tabel berikut.

    Atribut pemberitahuan pembaruan
    Atribut Deskripsi
    jenis

    Sesuai dengan nilai atribut kunci Klasifikasi dalam tipe PatchFilterdata baseline patch. Menunjukkan jenis paket yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    kepelikan

    Sesuai dengan nilai atribut kunci Keparahan dalam tipe PatchFilterdata baseline patch. Menunjukkan tingkat kepelikan paket yang disertakan dalam pemberitahuan pembaruan. Biasanya hanya berlaku untuk pemberitahuan pembaruan Keamanan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.
    update_id

    Menunjukkan ID penasehat, seperti RHSA-2017:0864. ID penasihat dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    referensi

    Berisi informasi tambahan tentang pemberitahuan pembaruan, seperti ID CVE (format: CVE-2017-1000371) atau ID Bugzilla (format: 1463241). ID CVE dan ID Bugzilla dapat digunakan dalam RejectedPatchesatribut ApprovedPatchesor di baseline patch.
    diperbarui

    Sesuai dengan ApproveAfterDaysdi baseline patch. Menunjukkan tanggal dirilis (tanggal diperbarui) dari paket yang disertakan dalam pemberitahuan pembaruan. Perbandingan antara stempel waktu saat ini dan nilai atribut ini ditambah digunakan untuk menentukan apakah tambalan disetujui untuk penerapan. ApproveAfterDays

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

  3. Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

  4. Paket dipilih untuk pembaruan sesuai dengan pedoman berikut.

    Opsi keamanan Pemilihan patch

    Garis dasar patch default yang telah ditentukan sebelumnya yang disediakan oleh AWS dan baseline patch kustom di mana kotak centang Sertakan pembaruan non-keamanan tidak dipilih dalam aturan apa pun

    Untuk setiap pemberitahuan pembaruan di updateinfo.xml, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

    Untuk RHEL 7, perintah yum setara untuk alur kerja ini adalah:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Untuk AlmaLinux 8 dan 9, RHEL 8, 9, dan 10, dan Rocky Linux 8 dan 9, perintah dnf setara untuk alur kerja ini adalah:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Garis dasar patch kustom di mana kotak centang Sertakan pembaruan non-keamanan dipilih dengan daftar KEPARAHAN [Critical, Important] dan daftar KLASIFIKASI [Security, Bugfix]

    Selain menerapkan pembaruan keamanan yang dipilihupdateinfo.xml, Patch Manager menerapkan pembaruan nonsecurity yang memenuhi aturan pemfilteran tambalan.

    Untuk RHEL 7, perintah yum setara untuk alur kerja ini adalah:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Untuk AlmaLinux 8 dan 9, RHEL 8, 9, dan 10, dan Rocky Linux 8 dan 9, perintah dnf setara untuk alur kerja ini adalah:

    sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y
    catatan

    Paket baru yang menggantikan paket yang sekarang usang dengan nama yang berbeda diinstal jika Anda menjalankan ini yum atau dnf perintah di luar. Patch Manager Namun, mereka tidak diinstal oleh Patch Manager operasi yang setara.

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.

Cara kerja aturan dasar patch pada SUSE Linux Enterprise Server

Pada SLES, setiap patch mencakup atribut berikut ini yang menunjukkan properti paket dalam patch tersebut:

  • Kategori: Sesuai dengan nilai atribut kunci Klasifikasi dalam tipe PatchFilterdata baseline patch. Menunjukkan jenis patch yang disertakan dalam pemberitahuan pembaruan.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.

  • Keparahan: Sesuai dengan nilai atribut kunci Keparahan dalam tipe PatchFilterdata baseline patch. Menunjukkan tingkat kepelikan patch.

    Anda dapat melihat daftar nilai yang didukung dengan menggunakan AWS CLI perintah describe-patch-properties atau operasi APIDescribePatchProperties. Anda juga dapat melihat daftar di area Aturan persetujuan pada halaman Buat dasar patch atau halaman Edit dasar patch di konsol Systems Manager.

Produk dari node terkelola ditentukan olehSSM Agent. Atribut ini sesuai dengan nilai atribut kunci Produk dalam tipe PatchFilterdata baseline patch.

Untuk setiap patch, dasar patch digunakan sebagai filter, memungkinkan hanya paket yang memenuhi syarat untuk disertakan dalam pembaruan. Jika beberapa paket berlaku setelah menerapkan definisi dasar patch, versi terbaru digunakan.

Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

Cara kerja aturan dasar patch pada Ubuntu Server

PadaUbuntu Server, layanan baseline patch menawarkan pemfilteran pada bidang Prioritas dan Bagian. Bidang ini biasanya hadir untuk semua Ubuntu Server paket. Untuk menentukan apakah patch dipilih oleh baseline patch, Patch Manager lakukan hal berikut:

  1. Pada Ubuntu Server sistem, setara sudo apt-get update dijalankan untuk menyegarkan daftar paket yang tersedia. Repo tidak dikonfigurasi dan data ditarik dari repo yang dikonfigurasi dalam daftar sources.

  2. Jika pembaruan tersedia untuk python3-apt (antarmuka pustaka Python kelibapt), itu ditingkatkan ke versi terbaru. (Paket nonsecurity ini ditingkatkan meskipun Anda tidak memilih opsi Sertakan pembaruan nonsecurity.)

  3. Selanjutnya GlobalFilters, RejectedPatchesdaftar ApprovalRules, ApprovedPatchesdan diterapkan.

    catatan

    Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

    Namun, aturan persetujuan, juga tunduk pada apakah kontak centang Sertakan pembaruan non-keamanan dipilih saat membuat atau terakhir memperbarui dasar patch.

    Jika pembaruan non-keamanan dikecualikan, diterapkan suatu aturan implisit untuk memilih hanya paket dengan pemutakhiran dalam repo keamanan. Untuk setiap paket, versi kandidat paket (yang biasanya versi terbaru) harus merupakan bagian dari repo keamanan. Dalam hal ini, untukUbuntu Server, versi kandidat tambalan terbatas pada tambalan yang disertakan dalam repo berikut:

    • Ubuntu Server14.04 LTS: trusty-security

    • Ubuntu Server16.04 LTS: xenial-security

    • Ubuntu Server18.04 LTS: bionic-security

    • Ubuntu Server20.04 LTS: focal-security

    • Ubuntu Server20.10 STR: groovy-security

    • Ubuntu Server22,04 LTS () jammy-security

    • Ubuntu Server23.04 () lunar-security

    • Ubuntu Server23.10 () mantic-security

    • Ubuntu Server24.04 LTS () noble-security

    • Ubuntu Server24.10 () oracular-security

    • Ubuntu Server25.04 () plucky-security

    Jika pembaruan non-keamanan disertakan, patch dari repositori lain juga dipertimbangkan.

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Format nama paket untuk daftar patch yang disetujui dan ditolak.

Untuk melihat konten bidang Prioritas dan Bagian, jalankan perintah aptitude berikut ini:

catatan

Anda mungkin perlu menginstal Aptitude terlebih dahulu pada Ubuntu Server 16 sistem.

aptitude search -F '%p %P %s %t %V#' '~U'

Dalam menanggapi perintah ini, semua paket yang dapat dimutakhirkan dilaporkan dalam format ini: 

name, priority, section, archive, candidate version

Untuk informasi tentang nilai status kepatuhan patch, lihat Nilai status kepatuhan tambalan.