Cara pemilihan patch keamanan - AWS Systems Manager

AWS Systems ManagerChange Managertidak lagi terbuka untuk pelanggan baru. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat perubahan AWS Systems ManagerChange Manager ketersediaan.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara pemilihan patch keamanan

Fokus utamaPatch Manager, alat di AWS Systems Manager, adalah menginstal pembaruan terkait keamanan sistem operasi pada node yang dikelola. Secara default, Patch Manager tidak menginstal semua tambalan yang tersedia, melainkan serangkaian tambalan yang lebih kecil yang berfokus pada keamanan.

Secara default, Patch Manager tidak mengganti paket yang telah ditandai sebagai usang dalam repositori paket dengan paket pengganti yang berbeda nama kecuali penggantian ini diperlukan oleh instalasi pembaruan paket lain. Sebagai gantinya, untuk perintah yang memperbarui paket, Patch Manager hanya melaporkan dan menginstal pembaruan yang hilang untuk paket yang diinstal tetapi sudah usang. Ini karena mengganti paket usang biasanya memerlukan penghapusan paket yang ada dan menginstal penggantinya. Mengganti paket usang dapat menyebabkan perubahan yang melanggar atau fungsionalitas tambahan yang tidak Anda inginkan.

Perilaku ini konsisten dengan update-minimal perintah YUM dan DNF, yang berfokus pada pembaruan keamanan daripada peningkatan fitur. Untuk informasi selengkapnya, lihat Cara menginstal patch.

catatan

Saat Anda menggunakan ApproveUntilDate parameter atau ApproveAfterDays parameter dalam aturan dasar patch, Patch Manager evaluasi tanggal rilis patch menggunakan Coordinated Universal Time (UTC).

Misalnya, untukApproveUntilDate, jika Anda menentukan tanggal seperti2025-11-16, tambalan yang dirilis antara 2025-11-16T00:00:00Z dan 2025-11-16T23:59:59Z akan disetujui.

Ketahuilah bahwa tanggal rilis tambalan yang ditampilkan oleh pengelola paket asli pada node terkelola Anda mungkin menunjukkan waktu yang berbeda berdasarkan zona waktu lokal sistem Anda, tetapi Patch Manager selalu menggunakan waktu tanggal UTC untuk perhitungan persetujuan. Ini memastikan konsistensi dengan tanggal rilis patch yang dipublikasikan di situs web penasihat keamanan resmi.

Untuk jenis sistem operasi berbasis Linux yang melaporkan tingkat keparahan patch, Patch Manager gunakan tingkat keparahan yang dilaporkan oleh penerbit perangkat lunak untuk pemberitahuan pembaruan atau tambalan individual. Patch Managertidak memperoleh tingkat keparahan dari sumber pihak ketiga, seperti Common Vulnerability Scoring System (CVSS), atau dari metrik yang dirilis oleh National Vulnerability Database (NVD).

catatan

Pada semua sistem berbasis Linux yang didukung olehPatch Manager, Anda dapat memilih repositori sumber berbeda yang dikonfigurasi untuk node terkelola, biasanya untuk menginstal pembaruan nonsecurity. Untuk informasi, lihat Cara menentukan repositori sumber patch alternatif (Linux).

Pilih dari tab berikut untuk mempelajari cara Patch Manager memilih patch keamanan untuk sistem operasi Anda.

Amazon Linux 2 and Amazon Linux 2023

Repositori yang telah dikonfigurasi sebelumnya ditangani secara berbeda di Amazon Linux 2 daripada di Amazon Linux 2023.

Di Amazon Linux 2, layanan baseline patch Systems Manager menggunakan repositori yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repositori (repo) yang telah dikonfigurasi sebelumnya pada sebuah node:

Di Amazon Linux 2

  • ID repo: amzn2-core/2/architecture

    Nama repo: Amazon Linux 2 core repository

  • ID repo: amzn2extra-docker/2/architecture

    Nama repo: Amazon Extras repo for docker

catatan

architecturebisa x86_64 atau (untuk prosesor Graviton) aarch64.

Saat Anda membuat instans Amazon Linux 2023 (AL2023), instans berisi pembaruan yang tersedia dalam versi AL2 023 dan spesifik AMI yang Anda pilih. Instans AL2 023 Anda tidak secara otomatis menerima pembaruan keamanan penting dan penting tambahan pada waktu peluncuran. Sebagai gantinya, dengan peningkatan deterministik melalui fitur repositori berversi yang didukung untuk AL2 023, yang diaktifkan secara default, Anda dapat menerapkan pembaruan berdasarkan jadwal yang memenuhi kebutuhan spesifik Anda. Untuk informasi selengkapnya, lihat Peningkatan deterministik melalui repositori berversi di Panduan Pengguna Amazon Linux 2023.

Pada AL2 023, repositori yang telah dikonfigurasi adalah sebagai berikut:

  • ID repo: amazonlinux

    Nama repo: repositori Amazon Linux 2023

Di Amazon Linux 2023 (rilis pratinjau), repositori yang telah dikonfigurasi sebelumnya terkait dengan versi pembaruan paket yang terkunci. Ketika new Amazon Machine Images (AMIs) untuk AL2 023 dirilis, mereka dikunci ke versi tertentu. Untuk pembaruan tambalan, Patch Manager ambil versi terkunci terbaru dari repositori pembaruan tambalan dan kemudian memperbarui paket pada node terkelola berdasarkan konten versi terkunci tersebut.

Package manager

Node terkelola Amazon Linux 2 menggunakan Yum sebagai manajer paket. Amazon Linux 2023 menggunakan DNF sebagai manajer paket.

Kedua manajer paket menggunakan konsep pemberitahuan pembaruan sebagai file bernamaupdateinfo.xml. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Semua paket yang ada dalam pemberitahuan pembaruan dianggap Keamanan olehPatch Manager. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait.

catatan

Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam updateinfo.xml file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

Untuk informasi selengkapnya tentang opsi Sertakan pembaruan non-keamanan, lihat Cara menginstal patch danCara kerja aturan dasar patch pada sistem berbasis Linux.

CentOS Aliran

PadaCentOS Stream, layanan dasar patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Daftar berikut memberikan contoh untuk CentOS 9.2 () fiktif: Amazon Machine Image AMI

  • ID repo: example-centos-9.2-base

    Nama repo: Example CentOS-9.2 - Base

  • ID repo: example-centos-9.2-extras

    Nama repo: Example CentOS-9.2 - Extras

  • ID repo: example-centos-9.2-updates

    Nama repo: Example CentOS-9.2 - Updates

  • ID repo: example-centos-9.x-examplerepo

    Nama repo: Example CentOS-9.x – Example Repo Packages

catatan

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

CentOS Streamnode menggunakan DNF sebagai manajer paket. Manajer paket menggunakan konsep pemberitahuan pembaruan. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu.

Namun, repo CentOS Stream default tidak dikonfigurasi dengan pemberitahuan pembaruan. Ini berarti itu Patch Manager tidak mendeteksi paket pada CentOS Stream repo default. Patch ManagerUntuk memungkinkan memproses paket yang tidak terkandung dalam pemberitahuan pembaruan, Anda harus mengaktifkan EnableNonSecurity bendera dalam aturan dasar tambalan.

catatan

CentOS Streampemberitahuan pembaruan didukung. Repo dengan pemberitahuan pembaruan dapat diunduh setelah peluncuran.

Debian Server

Pada Debian Server, layanan dasar patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi pada instans. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara sudo apt-get update.

Paket kemudian di-filter dari repo debian-security codename. Ini berarti bahwa pada setiap versiDebian Server, Patch Manager hanya mengidentifikasi peningkatan yang merupakan bagian dari repo terkait untuk versi tersebut, sebagai berikut:

  • Debian Server11: debian-security bullseye

  • Debian Server12: debian-security bookworm

Oracle Linux

PadaOracle Linux, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada dua repo yang telah dikonfigurasi sebelumnya pada sebuah node.

Oracle Linux7:

  • ID repo: ol7_UEKR5/x86_64

    Nama repo: Latest Unbreakable Enterprise Kernel Release 5 for Oracle Linux 7Server (x86_64)

  • ID repo: ol7_latest/x86_64

    Nama repo: Oracle Linux 7Server Latest (x86_64)

Oracle Linux8:

  • ID repo: ol8_baseos_latest

    Nama repo: Oracle Linux 8 BaseOS Latest (x86_64)

  • ID repo: ol8_appstream

    Nama repo: Oracle Linux 8 Application Stream (x86_64)

  • ID repo: ol8_UEKR6

    Nama repo: Latest Unbreakable Enterprise Kernel Release 6 for Oracle Linux 8 (x86_64)

Oracle Linux9:

  • ID repo: ol9_baseos_latest

    Nama repo: Oracle Linux 9 BaseOS Latest (x86_64)

  • ID repo: ol9_appstream

    Nama repo: Oracle Linux 9 Application Stream Packages(x86_64)

  • ID repo: ol9_UEKR7

    Nama repo: Oracle Linux UEK Release 7 (x86_64)

catatan

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

Oracle Linuxnode terkelola menggunakan Yum sebagai manajer paket, dan Yum menggunakan konsep pemberitahuan pembaruan sebagai file bernama. updateinfo.xml Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.

catatan

Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam updateinfo.xml file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

AlmaLinux, RHEL, and Linux Rocky

Pada AlmaLinux,Red Hat Enterprise Linux, dan Rocky Linux layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Biasanya ada tiga repo yang telah dikonfigurasi sebelumnya pada sebuah node.

Semua pembaruan diunduh dari repo jarak jauh yang dikonfigurasi pada node terkelola. Oleh karena itu, node harus memiliki akses keluar ke internet untuk terhubung ke repo sehingga penambalan dapat dilakukan.

catatan

Jika Anda memilih kotak centang Sertakan pembaruan non-keamanan di halaman dasar Buat tambalan, maka paket yang tidak diklasifikasikan dalam updateinfo.xml file (atau paket yang berisi file tanpa nilai Klasifikasi, Tingkat Keparahan, dan Tanggal yang diformat dengan benar) dapat disertakan dalam daftar patch yang telah difilter sebelumnya. Namun, agar patch dapat diterapkan, patch harus tetap memenuhi aturan dasar patch yang ditentukan pengguna.

Red Hat Enterprise Linux7 node terkelola menggunakan Yum sebagai manajer paket. AlmaLinux, Red Hat Enterprise Linux 8, dan node Rocky Linux terkelola menggunakan DNF sebagai manajer paket. Kedua pengelola paket menggunakan konsep pemberitahuan pembaruan sebagai file bernama updateinfo.xml. Pemberitahuan pembaruan hanyalah sebuah kumpulan paket yang memperbaiki masalah tertentu. Paket individu tidak ditetapkan klasifikasi atau tingkat kepelikan. Untuk alasan ini, Patch Manager tetapkan atribut pemberitahuan pembaruan ke paket terkait dan menginstal paket berdasarkan filter Klasifikasi yang ditentukan dalam baseline patch.

RHEL7
catatan

Repo berikut IDs dikaitkan dengan RHUI 2. RHUI 3 diluncurkan pada Desember 2019 dan memperkenalkan skema penamaan yang berbeda untuk repositori Yum. IDs Bergantung pada RHEL-7 tempat AMI Anda membuat node terkelola, Anda mungkin perlu memperbarui perintah Anda. Untuk informasi selengkapnya, lihat Repositori IDs untuk RHEL 7 di AWS Telah Berubah di Portal Pelanggan Red Hat.

  • ID repo: rhui-REGION-client-config-server-7/x86_64

    Nama repo: Red Hat Update Infrastructure 2.0 Client Configuration Server 7

  • ID repo: rhui-REGION-rhel-server-releases/7Server/x86_64

    Nama repo: Red Hat Enterprise Linux Server 7 (RPMs)

  • ID repo: rhui-REGION-rhel-server-rh-common/7Server/x86_64

    Nama repo: Red Hat Enterprise Linux Server 7 RH Common (RPMs)

AlmaLinux, 8 RHEL 8, dan Rocky Linux 8

  • ID repo: rhel-8-appstream-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 8 for x86_64 - AppStream from RHUI (RPMs)

  • ID repo: rhel-8-baseos-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 8 for x86_64 - BaseOS from RHUI (RPMs)

  • ID repo: rhui-client-config-server-8

    Nama repo: Red Hat Update Infrastructure 3 Client Configuration Server 8

AlmaLinux 9, RHEL 9, dan Rocky Linux 9

  • ID repo: rhel-9-appstream-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 9 for x86_64 - AppStream from RHUI (RPMs)

  • ID repo: rhel-9-baseos-rhui-rpms

    Nama repo: Red Hat Enterprise Linux 9 for x86_64 - BaseOS from RHUI (RPMs)

  • ID repo: rhui-client-config-server-9

    Nama repo: Red Hat Enterprise Linux 9 Client Configuration

SLES

Pada node terkelola SUSE Linux Enterprise Server (SLES), pustaka ZYPP mendapatkan daftar tambalan yang tersedia (kumpulan paket) dari lokasi berikut:

  • Daftar repositori: etc/zypp/repos.d/*

  • Informasi paket: /var/cache/zypp/raw/*

SLESnode terkelola menggunakan Zypper sebagai manajer paket, dan Zypper menggunakan konsep tambalan. Patch hanyalah kumpulan paket yang memperbaiki masalah tertentu. Patch Managermenangani semua paket yang direferensikan dalam tambalan sebagai terkait keamanan. Karena paket individual tidak diberi klasifikasi atau tingkat keparahan, Patch Manager berikan paket atribut tambalan yang menjadi miliknya.

Ubuntu Server

PadaUbuntu Server, layanan baseline patch Systems Manager menggunakan repositori (repo) yang telah dikonfigurasi sebelumnya pada node terkelola. Repo yang telah dikonfigurasi ini digunakan untuk menarik daftar terbaru dari pemutakhiran paket yang tersedia. Untuk ini, Systems Manager melakukan perintah setara sudo apt-get update.

Paket kemudian disaring dari codename-security repo, di mana nama kode unik untuk versi rilis, seperti trusty untuk 14. Ubuntu Server Patch Managerhanya mengidentifikasi peningkatan yang merupakan bagian dari repo ini:

  • Ubuntu Server16.04 LTS: xenial-security

  • Ubuntu Server18.04 LTS: bionic-security

  • Ubuntu Server20.04 LTS: focal-security

  • Ubuntu Server22,04 LTS () jammy-security

  • Ubuntu Server24.04 LTS () noble-security

  • Ubuntu Server25.04 () plucky-security

Windows Server

Pada sistem operasi Microsoft Windows, Patch Manager mengambil daftar pembaruan yang tersedia yang diterbitkan Microsoft ke Microsoft Update dan secara otomatis tersedia untuk Windows Server Update Services (WSUS).

catatan

Patch Managerhanya membuat patch yang tersedia untuk versi sistem Windows Server operasi yang didukung untukPatch Manager. Misalnya, tidak Patch Manager dapat digunakan untuk menambal Windows RT.

Patch Managerterus memantau pembaruan baru di setiap Wilayah AWS. Daftar pembaruan yang tersedia disegarkan di setiap Region setidaknya sekali per hari. Ketika informasi tambalan dari Microsoft diproses, Patch Manager menghapus pembaruan yang digantikan oleh pembaruan selanjutnya dari daftar tambalannya. Oleh karena itu, hanya pembaruan terbaru yang ditampilkan dan tersedia untuk instalasi. Misalnya, jika KB4012214 menggantikanKB3135456, hanya KB4012214 tersedia sebagai pembaruan diPatch Manager.

Demikian pula, Patch Manager dapat menginstal hanya patch yang tersedia pada node terkelola selama waktu operasi patching. Secara default, Windows Server 2019 dan Windows Server 2022 menghapus pembaruan yang digantikan oleh pembaruan selanjutnya. Akibatnya, jika Anda menggunakan ApproveUntilDate parameter dalam baseline Windows Server patch, tetapi tanggal yang dipilih dalam ApproveUntilDate parameter sebelum tanggal tambalan terbaru, maka skenario berikut terjadi:

  • Patch yang digantikan dihapus dari node dan oleh karena itu tidak dapat diinstal menggunakan. Patch Manager

  • Patch pengganti terbaru ada di node tetapi belum disetujui untuk instalasi sesuai tanggal yang ditentukan ApproveUntilDate parameter.

Ini berarti bahwa node terkelola sesuai dalam hal operasi Systems Manager, meskipun patch kritis dari bulan sebelumnya mungkin tidak diinstal. Skenario yang sama ini dapat terjadi saat menggunakan ApproveAfterDays parameter. Karena perilaku patch yang digantikan Microsoft, dimungkinkan untuk menetapkan angka (umumnya lebih besar dari 30 hari) sehingga tambalan untuk Windows Server tidak pernah diinstal jika patch terbaru yang tersedia dari Microsoft dirilis sebelum jumlah hari telah berlalu. ApproveAfterDays Perhatikan bahwa perilaku sistem ini tidak berlaku jika Anda telah memodifikasi pengaturan Objek Kebijakan Grup Windows (GPO) untuk membuat patch yang diganti tersedia di node terkelola Anda.

catatan

Dalam beberapa kasus, Microsoft merilis patch untuk aplikasi yang tidak menentukan tanggal dan waktu yang diperbarui. Dalam kasus ini, tanggal dan waktu yang diperbarui 01/01/1970 disediakan secara default.