Funzionamento delle regole delle basi di patch nei sistemi Linux - AWS Systems Manager
Funzionamento delle regole delle baseline delle patch su Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 e Amazon Linux 2023Funzionamento delle regole delle basi di patch in CentOS e CentOS StreamFunzionamento delle regole delle basi di patch in Debian Server e Raspberry Pi OSFunzionamento delle regole delle basi di patch in macOSFunzionamento delle regole delle basi di patch in Oracle LinuxCome funzionano le regole di base delle patch su AlmaLinuxRHEL, e Rocky LinuxFunzionamento delle regole delle basi di patch in SUSE Linux Enterprise ServerFunzionamento delle regole delle basi di patch in Ubuntu Server

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Funzionamento delle regole delle basi di patch nei sistemi Linux

Le regole di una base di patch nelle distribuzioni Linux operano in modo diverso in base al tipo di distribuzione. A differenza degli aggiornamenti delle patch sui nodi Windows Server gestiti, le regole vengono valutate su ciascun nodo per prendere in considerazione i repository configurati sull'istanza. Patch Manager, uno strumento in AWS Systems Manager, utilizza il gestore di pacchetti nativo per guidare l'installazione delle patch approvate dalla patch baseline.

Per i sistemi operativi basati su Linux che segnalano un livello di gravità per le patch, Patch Manager utilizza il livello di gravità riportato dal publisher del software per la notifica di aggiornamento o la singola patch. Patch Manager non ottiene i livelli di gravità da fonti di terze parti, come il CVSS (Common Vulnerability Scoring System), o dai parametri rilasciati dall'NVD (National Vulnerability Database).

Funzionamento delle regole delle baseline delle patch su Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 e Amazon Linux 2023

Nota

Amazon Linux 2023 (AL2023) utilizza repository con versioni che possono essere bloccati su una versione specifica tramite una o più impostazioni di sistema. Per tutte le operazioni di patching su AL2 023 EC2 istanze, Patch Manager utilizza le versioni più recenti del repository, indipendentemente dalla configurazione del sistema. Per ulteriori informazioni, consulta Utilizzo di aggiornamenti deterministici tramite repository con versioni di AL2023 nella Guida per l'utente di Amazon Linux 2023.

Su Amazon Linux 1, Amazon Linux 2, Amazon Linux 2022 e Amazon Linux 2023, il processo di selezione delle patch è il seguente:

  1. Sul nodo gestito, la libreria YUM (Amazon Linux 1 e Amazon Linux 2) o la libreria DNF (Amazon Linux 2022 e Amazon Linux 2023) accede al file updateinfo.xml per ogni repository configurato.

    Se non è presente un file updateinfo.xml, l'installazione delle patch dipende dalle impostazioni per Le patch approvate includono aggiornamenti non critici e Approvazione automatica. Ad esempio, se gli aggiornamenti non relativi alla protezione sono consentiti, vengono installati quando arriva l'ora di approvazione automatica.

  2. Ogni avviso di aggiornamento di updateinfo.xml include vari attributi che denotano le proprietà dei pacchetti dell'avviso, come descritto nella seguente tabella.

    Attributi degli avvisi di aggiornamento
    Attributo Descrizione
    tipo

    Corrisponde al valore dell'attributo chiave Classification nel tipo di dati PatchFilter della base di patch. Indica il tipo di pacchetto incluso nell'avviso di aggiornamento.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'operazione API. DescribePatchProperties È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    severity

    Corrisponde al valore dell'attributo chiave Severity nel tipo di dati PatchFilter della base di patch. Indica il tipo di gravità dei pacchetti inclusi nell'avviso di aggiornamento. Generalmente applicabile solo per gli avvisi di aggiornamento Security.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'operazione APIDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    update_id

    Indica l'ID consulenza, ad esempio ALAS-2017-867. L'ID consulenza può essere utilizzato nell'attributo ApprovedPatches o RejectedPatches della base di patch.
    riferimenti

    Contiene ulteriori informazioni sull'avviso di aggiornamento, come l'ID CVE (formato: CVE-2017-1234567). L'ID CVE può essere utilizzato nell'attributo ApprovedPatches o RejectedPatches della base di patch.
    updated

    Corrisponde a ApproveAfterDays nella base di patch. Indica la data di rilascio (data dell'aggiornamento) dei pacchetti inclusi nell'avviso di aggiornamento. Per stabilire se la patch è approvata per la distribuzione, si effettua un confronto tra il timestamp corrente e il valore di questo attributo più ApproveAfterDays.

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

  3. Il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo chiave Product nel tipo di dati PatchFilter della base di patch.

  4. La selezione dei pacchetti per l'aggiornamento si basa sulle seguenti linee guida.

    Opzione di sicurezza Selezione di patch

    Baseline delle patch predefinite fornite da AWS e baseline delle patch personalizzate in cui la casella di controllo Includi aggiornamenti non critici non è selezionata

    Per ogni avviso di aggiornamento in updateinfo.xml, la base di patch viene utilizzata come filtro, per includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

    Per Amazon Linux 1 e Amazon Linux 2, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Per Amazon Linux 2022 e Amazon Linux 2023, il comando dfn equivalente per questo flusso di lavoro è:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Baseline delle patch personalizzate in cui è selezionata la casella di controllo Includi aggiornamenti non critici con un elenco di GRAVITÀ [Critical, Important] e un elenco di CLASSIFICAZIONE [Security, Bugfix]

    Oltre ad applicare gli aggiornamenti di sicurezza selezionati da updateinfo.xml, Patch Manager applica gli aggiornamenti non correlati alla sicurezza che soddisfano in altro modo le regole di filtraggio delle patch.

    Per Amazon Linux e Amazon Linux 2, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Per Amazon Linux 2022 e Amazon Linux 2023, il comando dfn equivalente per questo flusso di lavoro è:

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y
    Nota

    I nuovi pacchetti che sostituiscono i pacchetti ormai obsoleti con nomi diversi vengono installati se si eseguono questi yum o dnf comandi all'esterno di. Patch Manager Tuttavia, non vengono installati con operazioni equivalenti. Patch Manager

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Funzionamento delle regole delle basi di patch in CentOS e CentOS Stream

CentOS e i repository CentOS Stream predefiniti non includono un file updateinfo.xml. Tuttavia, i repository personalizzati creati o utilizzati potrebbero includere questo file. In questo argomento, i riferimenti a updateinfo.xml si applicano solo a questi repository personalizzati.

Di seguito è riportato processo di selezione delle patch in CentOS e CentOS Stream:

  1. Nel nodo gestito, la libreria YUM (nelle versioni CentOS 6.x e 7.x) o la libreria DNF (su CentOS 8.x e CentOS Stream) accede al file updateinfo.xml, qualora esistesse in un repository personalizzato, per ogni repository configurato.

    Quando non viene rilevato un file updateinfo.xml, che include sempre i repository predefiniti, l'installazione delle patch dipende dalle impostazioni per Includi aggiornamenti non critici e Approvazione automatica. Ad esempio, se gli aggiornamenti non relativi alla protezione sono consentiti, vengono installati quando arriva l'ora di approvazione automatica.

  2. Quando updateinfo.xml è presente, ogni avviso di aggiornamento nel file include vari attributi che denotano le proprietà dei pacchetti dell'avviso, come descritto nella seguente tabella.

    Attributi degli avvisi di aggiornamento
    Attributo Descrizione
    tipo

    Corrisponde al valore dell'attributo chiave Classification nel tipo di dati PatchFilter della base di patch. Indica il tipo di pacchetto incluso nell'avviso di aggiornamento.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'operazione APIDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    severity

    Corrisponde al valore dell'attributo chiave Severity nel tipo di dati PatchFilter della base di patch. Indica il tipo di gravità dei pacchetti inclusi nell'avviso di aggiornamento. Generalmente applicabile solo per gli avvisi di aggiornamento Security.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'operazione APIDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    update_id

    Indica l'ID consulenza, ad esempio CVE-2019-17055. L'ID consulenza può essere utilizzato nell'attributo ApprovedPatches o RejectedPatches della base di patch.
    riferimenti

    Contiene ulteriori informazioni sull'avviso di aggiornamento, come un ID CVE (formato: CVE-2019-17055) o un ID Bugzilla (formato: 1463241). L'ID CVE e l'ID Bugzilla possono essere utilizzati nell'attributo ApprovedPatches o RejectedPatches della base di patch.
    updated

    Corrisponde a ApproveAfterDays nella base di patch. Indica la data di rilascio (data dell'aggiornamento) dei pacchetti inclusi nell'avviso di aggiornamento. Per stabilire se la patch è approvata per la distribuzione, si effettua un confronto tra il timestamp corrente e il valore di questo attributo più ApproveAfterDays.

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

  3. In tutti i casi, Il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo chiave Product nel tipo di dati PatchFilter della base di patch.

  4. La selezione dei pacchetti per l'aggiornamento si basa sulle seguenti linee guida.

    Opzione di sicurezza Selezione di patch

    Baseline delle patch predefinite fornite da AWS e baseline delle patch personalizzate in cui la casella di controllo Includi aggiornamenti non critici non è selezionata

    Per ogni avviso di aggiornamento in updateinfo.xml, qualora esistesse in un repository personalizzato, la baseline delle patch viene utilizzata come filtro, per includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

    Per CentOS 6 e 7 in cui updateinfo.xml è presente, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Per CentOS 8 e CentOS Stream in cui updateinfo.xml è presente, il comando dnf equivalente per questo flusso di lavoro è:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Baseline delle patch personalizzate in cui è selezionata la casella di controllo Includi aggiornamenti non critici con un elenco di GRAVITÀ [Critical, Important] e un elenco di CLASSIFICAZIONE [Security, Bugfix]

    Oltre ad applicare gli aggiornamenti di sicurezza selezionati da updateinfo.xml, qualora esistesse in un repository personalizzato, Patch Manager applica gli aggiornamenti non correlati alla sicurezza che soddisfano in altro modo le regole di filtraggio delle patch.

    Per CentOS 6 e 7 in cui updateinfo.xml è presente, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update --sec-severity=Critical,Important --bugfix -y

    Per CentOS 8 e CentOS Stream in cui updateinfo.xml è presente, il comando dnf equivalente per questo flusso di lavoro è:

    sudo dnf upgrade --security --sec-severity=Critical --sec-severity=Important --bugfix -y

    Per i repository predefiniti e quelli personalizzati senza updateinfo.xml, è necessario selezionare la casella di controllo Includi aggiornamenti non critici per aggiornare i pacchetti del sistema operativo (OS).

    Nota

    I nuovi pacchetti che sostituiscono i pacchetti ormai obsoleti con nomi diversi vengono installati se si eseguono questi yum o dnf comandi all'esterno di. Patch Manager Tuttavia, non vengono installati con operazioni equivalenti. Patch Manager

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Funzionamento delle regole delle basi di patch in Debian Server e Raspberry Pi OS

In Debian Server e Raspberry Pi OS (ex Raspbian), il servizio delle basi di patch offre l'applicazione di filtri nei campi Priority (Priorità) e Section (Sezione). Questi campi sono in genere presenti per tutti pacchetti Debian Server e Raspberry Pi OS. Per determinare se una patch è stata selezionata dalla base di patch, Patch Manager effettua quanto segue:

  1. Nei sistemi Debian Server e Raspberry Pi OS, viene eseguito l'equivalente di sudo apt-get update per aggiornare l'elenco dei pacchetti disponibili. I repo non vengono configurati e i dati vengono estratti dai repo configurati in un elenco sources.

  2. Se è disponibile un aggiornamento per python3-apt (un'interfaccia di libreria Python perlibapt), viene aggiornato alla versione più recente. (Questo pacchetto non correlato alla sicurezza viene aggiornato anche se non è stata selezionata l'opzione Includi aggiornamenti non correlati alla protezione).

    Importante

    Solo su Debian Server 8: poiché i sistemi operativi Debian Server 8.* fanno riferimento a un repository di pacchetti obsoleto (jessie-backports), Patch Manager esegue le seguenti fasi aggiuntive per garantire che le operazioni di applicazione di patch abbiano esito positivo:

    1. Sul tuo nodo gestito, il riferimento al jessie-backports repository viene commentato dall'elenco dei percorsi di origine (/etc/apt/sources.list.d/jessie-backports). Di conseguenza, non viene effettuato alcun tentativo di scaricare patch da tale posizione.

    2. Viene importata una chiave di firma dell'aggiornamento di protezione Stretch. Questa chiave fornisce le autorizzazioni necessarie per le operazioni di aggiornamento e installazione sulle distribuzioni Debian Server 8.*.

    3. A questo punto, viene eseguita l'operazione apt-get per assicurare che l'ultima versione di python3-apt sia installata prima dell'inizio del processo di applicazione di patch.

    4. Al termine del processo di installazione, il riferimento al repository jessie-backports viene ripristinato e la chiave di firma viene rimossa dal keyring delle sorgenti APT. Questa operazione viene eseguita per lasciare la configurazione del sistema com'era prima dell'operazione di applicazione di patch.

  3. Quindi, vengono applicati gli elenchi GlobalFilters, ApprovalRules, ApprovedPatches e RejectedPatches.

    Nota

    Poiché non è possibile determinare in modo affidabile le date di rilascio dei pacchetti di aggiornamento per Debian Server, le opzioni di approvazione automatica non sono supportate per questo sistema operativo.

    Le norme di approvazione, tuttavia, sono anche soggette al fatto che la casella di spunta Includi aggiornamenti non correlati alla protezione è stata selezionata durante la creazione o l'ultimo aggiornamento di una base di patch.

    Se sono esclusi aggiornamenti non di sicurezza, viene applicata una regola implicita per selezionare solo i pacchetti con gli aggiornamenti nei repo di sicurezza. Per ciascun pacchetto, la versione candidata (in genere, quella più recente) deve fare parte di un repo di sicurezza. In questo caso, per Debian Server, le versioni candidate alle patch sono limitate alle patch incluse nei seguenti repository:

    Questi repository sono denominati come segue:

    • Debian Server 8: debian-security jessie

    • Debian Server e Raspberry Pi OS 9: debian-security stretch

    • Debian Server10: debian-security buster

    • Debian Server11: debian-security bullseye

    • Debian Server12: debian-security bookworm

    Se sono inclusi aggiornamenti non correlati alla protezione, vengono prese in considerazione anche le patch di altri repository.

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

Per visualizzare i contenuti dei campi Priority (Priorità) e Section (Sezione), eseguire il seguente comando aptitude:

Nota

Potrebbe essere necessario installare prima Aptitude nei sistemi Debian Server.

aptitude search -F '%p %P %s %t %V#' '~U'

Nella risposta a questo comando, tutti i pacchetti aggiornabili vengono specificati in questo formato: 

name, priority, section, archive, candidate version

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Funzionamento delle regole delle basi di patch in macOS

Di seguito è riportato processo di selezione delle patch in macOS:

  1. Sul nodo gestito, Patch Manager accede al contenuto analizzato del file InstallHistory.plist e identifica i nomi e le versioni dei pacchetti.

    Per dettagli sul processo di analisi, consulta la sezione macOS in Come vengono installate le patch.

  2. Il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo chiave Product nel tipo di dati PatchFilter della base di patch.

  3. La selezione dei pacchetti per l'aggiornamento si basa sulle seguenti linee guida.

    Opzione di sicurezza Selezione di patch

    Baseline delle patch predefinite fornite da AWS e baseline delle patch personalizzate in cui la casella di controllo Includi aggiornamenti non critici non è selezionata

    Per ogni aggiornamento di pacchetto disponibile, la base di patch viene utilizzata come filtro, per includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

    Baseline delle patch personalizzate in cui è selezionata la casella di controllo Includi aggiornamenti non critici

    Oltre ad applicare gli aggiornamenti di sicurezza individuati utilizzando InstallHistory.plist , Patch Manager applica gli aggiornamenti non correlati alla sicurezza che soddisfano in altro modo le regole di filtraggio delle patch.

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Funzionamento delle regole delle basi di patch in Oracle Linux

Di seguito è riportato processo di selezione delle patch in Oracle Linux:

  1. Nel nodo gestito, la libreria YUM accede al file updateinfo.xml per ciascun repo configurato.

    Nota

    Il file updateinfo.xml potrebbe non essere disponibile se il repo non è gestito da Oracle Oracle. Se non viene rilevato un file updateinfo.xml, l'installazione delle patch dipende dalle impostazioni per Includi aggiornamenti non critici e Approvazione automatica. Ad esempio, se gli aggiornamenti non relativi alla protezione sono consentiti, vengono installati quando arriva l'ora di approvazione automatica.

  2. Ogni avviso di aggiornamento di updateinfo.xml include vari attributi che denotano le proprietà dei pacchetti dell'avviso, come descritto nella seguente tabella.

    Attributi degli avvisi di aggiornamento
    Attributo Descrizione
    tipo

    Corrisponde al valore dell'attributo chiave Classification nel tipo di dati PatchFilter della base di patch. Indica il tipo di pacchetto incluso nell'avviso di aggiornamento.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'operazione APIDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    severity

    Corrisponde al valore dell'attributo chiave Severity nel tipo di dati PatchFilter della base di patch. Indica il tipo di gravità dei pacchetti inclusi nell'avviso di aggiornamento. Generalmente applicabile solo per gli avvisi di aggiornamento Security.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'operazione APIDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    update_id

    Indica l'ID consulenza, ad esempio CVE-2019-17055. L'ID consulenza può essere utilizzato nell'attributo ApprovedPatches o RejectedPatches della base di patch.
    riferimenti

    Contiene ulteriori informazioni sull'avviso di aggiornamento, come un ID CVE (formato: CVE-2019-17055) o un ID Bugzilla (formato: 1463241). L'ID CVE e l'ID Bugzilla possono essere utilizzati nell'attributo ApprovedPatches o RejectedPatches della base di patch.
    updated

    Corrisponde a ApproveAfterDays nella base di patch. Indica la data di rilascio (data dell'aggiornamento) dei pacchetti inclusi nell'avviso di aggiornamento. Per stabilire se la patch è approvata per la distribuzione, si effettua un confronto tra il timestamp corrente e il valore di questo attributo più ApproveAfterDays.

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

  3. Il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo chiave Product nel tipo di dati PatchFilter della base di patch.

  4. La selezione dei pacchetti per l'aggiornamento si basa sulle seguenti linee guida.

    Opzione di sicurezza Selezione di patch

    Baseline delle patch predefinite fornite da AWS e baseline delle patch personalizzate in cui la casella di controllo Includi aggiornamenti non critici non è selezionata

    Per ogni avviso di aggiornamento in updateinfo.xml, la base di patch viene utilizzata come filtro, per includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

    Per i nodi gestiti della versione 7, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update-minimal --sec-severity=Important,Moderate --bugfix -y

    Per i nodi gestiti della versione 8 e 9, il comando dnf equivalente per questo flusso di lavoro è:

    sudo dnf upgrade-minimal --security --sec-severity=Moderate --sec-severity=Important

    Baseline delle patch personalizzate in cui è selezionata la casella di controllo Includi aggiornamenti non critici con un elenco di GRAVITÀ [Critical, Important] e un elenco di CLASSIFICAZIONE [Security, Bugfix]

    Oltre ad applicare gli aggiornamenti di sicurezza selezionati da updateinfo.xml, Patch Manager applica gli aggiornamenti non correlati alla sicurezza che soddisfano in altro modo le regole di filtraggio delle patch.

    Per i nodi gestiti della versione 7, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Per i nodi gestiti della versione 8 e 9, il comando dnf equivalente per questo flusso di lavoro è: 

    sudo dnf upgrade --security --sec-severity=Critical, --sec-severity=Important --bugfix y
    Nota

    I nuovi pacchetti che sostituiscono i pacchetti ormai obsoleti con nomi diversi vengono installati se si eseguono questi yum o dnf comandi all'esterno di. Patch Manager Tuttavia, non vengono installati con operazioni equivalenti. Patch Manager

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Come funzionano le regole di base delle patch su AlmaLinuxRHEL, e Rocky Linux

Su AlmaLinux, Red Hat Enterprise Linux (RHEL) eRocky Linux, il processo di selezione delle patch è il seguente:

  1. Sul nodo gestito, la libreria YUM (RHEL7) o la libreria DNF (AlmaLinux 8 e 9, RHEL 8, 9 e 10 e Rocky Linux 8 e 9) accede al updateinfo.xml file per ogni repository configurato.

    Nota

    Il file updateinfo.xml potrebbe non essere disponibile se il repo non è gestito da Red Hat. Se non viene trovato alcun file updateinfo.xml, non verrà applicata nessuna patch.

  2. Ogni avviso di aggiornamento di updateinfo.xml include vari attributi che denotano le proprietà dei pacchetti dell'avviso, come descritto nella seguente tabella.

    Attributi degli avvisi di aggiornamento
    Attributo Descrizione
    tipo

    Corrisponde al valore dell'attributo chiave Classification nel tipo di dati PatchFilter della base di patch. Indica il tipo di pacchetto incluso nell'avviso di aggiornamento.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'operazione API. DescribePatchProperties È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    severity

    Corrisponde al valore dell'attributo chiave Severity nel tipo di dati PatchFilter della base di patch. Indica il tipo di gravità dei pacchetti inclusi nell'avviso di aggiornamento. Generalmente applicabile solo per gli avvisi di aggiornamento Security.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'operazione APIDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.
    update_id

    Indica l'ID consulenza, ad esempio RHSA-2017:0864. L'ID consulenza può essere utilizzato nell'attributo ApprovedPatches o RejectedPatches della base di patch.
    riferimenti

    Contiene ulteriori informazioni sull'avviso di aggiornamento, come un ID CVE (formato: CVE-2017-1000371) o un ID Bugzilla (formato: 1463241). L'ID CVE e l'ID Bugzilla possono essere utilizzati nell'attributo ApprovedPatches o RejectedPatches della base di patch.
    updated

    Corrisponde a ApproveAfterDays nella base di patch. Indica la data di rilascio (data dell'aggiornamento) dei pacchetti inclusi nell'avviso di aggiornamento. Per stabilire se la patch è approvata per la distribuzione, si effettua un confronto tra il timestamp corrente e il valore di questo attributo più ApproveAfterDays.

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

  3. Il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo chiave Product nel tipo di dati PatchFilter della base di patch.

  4. La selezione dei pacchetti per l'aggiornamento si basa sulle seguenti linee guida.

    Opzione di sicurezza Selezione di patch

    Baseline delle patch predefinite fornite da AWS e baseline delle patch personalizzate in cui la casella di controllo Includi aggiornamenti non critici non è selezionata in nessuna regola

    Per ogni avviso di aggiornamento in updateinfo.xml, la base di patch viene utilizzata come filtro, per includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

    For RHEL 7, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update-minimal --sec-severity=Critical,Important --bugfix -y

    Per AlmaLinux 8 e 9, RHEL 8, 9 e 10 e Rocky Linux 8 e 9, il comando dnf equivalente per questo flusso di lavoro è:

    sudo dnf upgrade-minimal --sec-severity=Critical --sec-severity=Important --bugfix -y

    Baseline delle patch personalizzate in cui è selezionata la casella di controllo Includi aggiornamenti non critici con un elenco di GRAVITÀ [Critical, Important] e un elenco di CLASSIFICAZIONE [Security, Bugfix]

    Oltre ad applicare gli aggiornamenti di sicurezza selezionati da updateinfo.xml, Patch Manager applica gli aggiornamenti non correlati alla sicurezza che soddisfano in altro modo le regole di filtraggio delle patch.

    For RHEL 7, il comando yum equivalente per questo flusso di lavoro è:

    sudo yum update --security --sec-severity=Critical,Important --bugfix -y

    Per AlmaLinux 8 e 9, RHEL 8, 9 e 10 e Rocky Linux 8 e 9, il comando dnf equivalente per questo flusso di lavoro è:

    sudo dnf upgrade --sec-severity=Critical --sec-severity=Important --bugfix -y
    Nota

    I nuovi pacchetti che sostituiscono i pacchetti ormai obsoleti con nomi diversi vengono installati se si eseguono questi yum o dnf comandi all'esterno di. Patch Manager Tuttavia, non vengono installati con operazioni equivalenti. Patch Manager

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.

Funzionamento delle regole delle basi di patch in SUSE Linux Enterprise Server

In SLES, ogni patch include i seguenti attributi che denotano le proprietà dei pacchetti della patch:

  • Category: corrisponde al valore dell'attributo chiave Classification nel tipo di dati PatchFilter della base di patch. Indica il tipo di patch incluso nell'avviso di aggiornamento.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'operazione APIDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.

  • Gravità: corrisponde al valore dell'attributo chiave Gravità nel tipo di dati PatchFilter della patch di base. Indica la gravità delle patch.

    È possibile visualizzare l'elenco dei valori supportati utilizzando il AWS CLI comando describe-patch-properties o l'operazione APIDescribePatchProperties. È anche possibile visualizzare l'elenco nell'area Norme di approvazionedella pagina Create patch baseline (Creazione di una base di patch) della paginaEdit patch baseline (Modifica della base di patch) nella console Systems Manager.

Il prodotto del nodo gestito è determinato da SSM Agent. Questo attributo corrisponde al valore dell'attributo chiave Product nel tipo di dati PatchFilter della base di patch.

Per ogni patch, la base di patch viene utilizzata come filtro, per includere nell'aggiornamento solo i pacchetti qualificati. Se più pacchetti sono applicabili dopo l'applicazione della definizione della base di patch, verrà utilizzata la versione più recente.

Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

Funzionamento delle regole delle basi di patch in Ubuntu Server

In Ubuntu Server, il servizio delle basi di patch offre l'applicazione di filtri nei campi Priority (Priorità) e Section (Sezione). Questi campi sono in genere presenti per tutti pacchetti Ubuntu Server. Per determinare se una patch è stata selezionata dalla base di patch, Patch Manager effettua quanto segue:

  1. Nei sistemi Ubuntu Server, viene eseguito l'equivalente di sudo apt-get update per aggiornare l'elenco dei pacchetti disponibili. I repo non vengono configurati e i dati vengono estratti dai repo configurati in un elenco sources.

  2. Se è disponibile un aggiornamento per python3-apt (un'interfaccia di libreria Python perlibapt), viene aggiornato alla versione più recente. (Questo pacchetto non correlato alla sicurezza viene aggiornato anche se non è stata selezionata l'opzione Includi aggiornamenti non correlati alla protezione).

  3. Quindi, vengono applicati gli elenchi GlobalFilters, ApprovalRules, ApprovedPatches e RejectedPatches.

    Nota

    Poiché non è possibile determinare in modo affidabile le date di rilascio dei pacchetti di aggiornamento per Ubuntu Server, le opzioni di approvazione automatica non sono supportate per questo sistema operativo.

    Le norme di approvazione, tuttavia, sono anche soggette al fatto che la casella di spunta Includi aggiornamenti non correlati alla protezione è stata selezionata durante la creazione o l'ultimo aggiornamento di una base di patch.

    Se sono esclusi aggiornamenti non di sicurezza, viene applicata una regola implicita per selezionare solo i pacchetti con gli aggiornamenti nei repo di sicurezza. Per ciascun pacchetto, la versione candidata (in genere, quella più recente) deve fare parte di un repo di sicurezza. In questo caso, per Ubuntu Server, le versioni candidate alle patch sono limitate alle patch incluse nei seguenti repository:

    • Ubuntu Server 14.04 LTS: trusty-security

    • Ubuntu Server 16.04 LTS: xenial-security

    • Ubuntu Server 18.04 LTS: bionic-security

    • Ubuntu Server 20.04 LTS: focal-security

    • Ubuntu Server 20.10 STR: groovy-security

    • Ubuntu Server 22.04 LTS (jammy-security)

    • Ubuntu Server 23.04 (lunar-security)

    • Ubuntu Server23.10 () mantic-security

    • Ubuntu Server24,04 LITRI (1) noble-security

    • Ubuntu Server24.10 () oracular-security

    • Ubuntu Server25,04 () plucky-security

    Se sono inclusi aggiornamenti non correlati alla protezione, vengono prese in considerazione anche le patch di altri repository.

    Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

Per visualizzare i contenuti dei campi Priority (Priorità) e Section (Sezione), eseguire il seguente comando aptitude:

Nota

Potrebbe essere necessario installare prima Aptitude nei sistemi Ubuntu Server 16.

aptitude search -F '%p %P %s %t %V#' '~U'

Nella risposta a questo comando, tutti i pacchetti aggiornabili vengono specificati in questo formato: 

name, priority, section, archive, candidate version

Per informazioni sui valori dello stato di conformità delle patch, consulta Valori dello stato di conformità delle patch.