Patch Manager memindai patch sistem, memeriksa statusnya, dan menginstal patch yang belum terpasang pada instans Linux dan Windows.
Linux
Patch Manager mendukung berbagai distribusi Linux. Masing-masing menggunakan manajer paket berbeda untuk memindai dan menginstal patch.
|
Sistem operasi |
Manajer paket |
|
CentOS 7, Alibaba Cloud Linux 2, dan Red Hat Enterprise Linux 7 |
YUM |
|
CentOS Stream 9, Alibaba Cloud Linux 3, Red Hat Enterprise Linux 8 dan 9, Anolis OS 8, AlmaLinux OS 8 dan 9, Rocky Linux 8 dan 9, serta Fedora 37, 38, dan 39 |
DNF |
|
Ubuntu 16.04, 18.04, 20.04, 22.04, dan 24.04 |
APT |
|
Debian 11/12 |
APT |
|
SUSE Linux Enterprise Server (SLES) 12 dan 15, serta openSUSE 15 |
Zypper |
Garis dasar patch pada YUM dan DNF
CentOS, Alibaba Cloud Linux, Red Hat Enterprise Linux, dan Anolis OS menggunakan YUM atau DNF untuk mengelola paket. Keduanya mendukung notifikasi pembaruan yang disimpan dalam file updateinfo.xml di repositori perangkat lunak. Setiap notifikasi pembaruan berisi serangkaian paket yang memperbaiki isu tertentu. Paket-paket ini dianggap sebagai paket keamanan. Jika Anda tidak memilih Include Non-security Updates saat membuat garis dasar patch, hanya paket yang tercantum dalam notifikasi pembaruan yang memenuhi syarat.
Bidang dalam updateinfo.xml:
|
Parameter |
Deskripsi |
|
type |
Jenis notifikasi pembaruan. Nilai yang valid: Security Bugfix Enhancement Recommended Newpackage |
|
title |
Judul notifikasi pembaruan. |
|
severity |
Tingkat keparahan. Nilai yang valid: Critical Important Moderate Low Unspecified |
|
summary |
Deskripsi singkat. |
|
description |
Deskripsi detail. |
|
references |
Referensi, termasuk informasi CVE dan Bugzilla. |
|
pkglist |
Paket RPM terkait. |
Patch Manager menyaring notifikasi pembaruan dalam updateinfo.xml berdasarkan aturan garis dasar patch. Sebagai contoh, garis dasar publik CentOS menentukan:
'PatchFilterGroup': [
{
'Values': [
'*'
],
'Key': 'Product'
},
{
'Values': [
'Security',
'Bugfix'
],
'Key':'Classification'
},
{
'Values': [
'Critical',
'Important'
],
'Key': 'Severity'
}
]
Aturan ini mencocokkan pembaruan Security atau Bugfix dengan tingkat keparahan Critical atau Important. Perintah yum setara:
yum check-update --security --bugfix --secseverity=Critical,Important
Perintah dnf setara:
dnf check-update --security --bugfix --secseverity=Critical
dnf check-update --security --bugfix --secseverity=Important
Jika aturan garis dasar kustom tidak menentukan jenis patch atau tingkat keparahan, perintah setaranya adalah:
yum check-update --security
dnf check-update --security
Setelah penyaringan, Patch Manager menjalankan perintah yum update (API) atau dnf update untuk menginstal patch, lalu merestart instans. Jika Allow Restart diatur ke No, instans tidak akan direstart.
Catatan: Jika kernel live patching diaktifkan pada Alibaba Cloud Linux 2 dan hanya patch live kernel yang diinstal, Patch Manager melewati restart. Ikhtisar Kernel Live Patching.
Garis dasar patch pada APT
Pada Debian dan Ubuntu, garis dasar patch memilih patch berdasarkan bidang Priority dan Section dari paket DEB.
Patch Manager memindai dan menginstal patch sebagai berikut:
1. Menjalankan apt update untuk merefresh daftar paket.
2. Mencocokkan paket yang dapat diperbarui dengan garis dasar patch. Jika Include Non-security Updates tidak dipilih, hanya paket dalam repositori keamanan yang memenuhi syarat. Nama repositori keamanan berdasarkan OS:
Debian Server 8: debian-security jessie
Debian Server 9: debian-security stretch
Debian Server 10: debian-security buster
Debian Server 11: debian-security bullseye
Debian Server 12: debian-security bookworm
Ubuntu Server 16.04 LTS: xenial-security
Ubuntu Server 18.04 LTS: bionic-security
Ubuntu Server 20.04 LTS: focal-security
Ubuntu Server 22.04 LTS: jammy-security
Garis dasar publik Debian/Ubuntu mencocokkan paket dengan prioritas Required atau Important:
'PatchFilterGroup': [
{
'Values': [
'*'
],
'Key': 'Product'
},
{
'Values': [
'Required',
'Important'
],
'Key': 'Severity'
}
Aturan ini setara dengan:
1. Menjalankan apt list --upgradable untuk menampilkan semua paket yang dapat diperbarui.
2. Menjalankan apt list -a package-name untuk menampilkan semua versi, diurutkan dari terbaru ke terlama.
3. Menjalankan apt show package-name=={Version} untuk memeriksa prioritas dan apakah versi tersebut memenuhi aturan garis dasar.
4. Memverifikasi bahwa versi yang cocok berada di repositori keamanan.
Patch Manager menjalankan perintah apt update (API) untuk menginstal patch yang cocok, lalu merestart instans. Jika Allow Restart diatur ke No, instans tidak akan direstart.
Garis dasar patch pada Zypper
Pada SLES dan openSUSE, Zypper mengelola patch sistem. Jalankan zypper list-patches untuk menampilkan patch yang berlaku. Atribut patch:
|
status |
not needed: Patch tidak diperlukan. applied: Patch telah terinstal. need: Patch harus diinstal. |
|
Category Category |
|
|
Severity Severity |
|
|
Created On |
Tanggal pembuatan patch. |
Garis dasar patch Zypper menyaring berdasarkan Category dan Severity. Contoh:
"PatchFilterGroup": [
{
"Values": [
"*"
],
"Key": "Product"
},
{
"Values": [
"security",
"recommended"
],
"Key": "Classification"
},
{
"Values": [
"Critical",
"Important",
"Moderate"
],
"Key": "Severity"
}
],
Aturan ini mencocokkan patch security dan recommended dengan tingkat keparahan Critical, Important, atau Moderate.
Windows
Proses pembaruan patch Windows
Saat pemindaian atau instalasi, Patch Manager menghapus pembaruan yang telah digantikan dan hanya menampilkan versi terbaru. Misalnya, jika KB4550961 digantikan oleh KB4556846, hanya KB4556846 yang ditampilkan.
Jika sebuah patch memiliki dependensi, instal terlebih dahulu. Patch yang bergantung baru terdeteksi setelah dependensinya diinstal dan pemindaian ulang dijalankan. Misalnya, KB5005076 bergantung pada KB4566425 — KB5005076 tidak terdeteksi hingga KB4566425 diinstal.
Catatan: Patch Manager hanya mendukung Windows Server 2012 R2, Server 2016, Server 2019, Server 2022, dan Server 2025.