使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

如何确保我的 Amazon EC2 Linux 实例已使用最新的补丁和安全更新完成了更新?

2 分钟阅读
0

我想确保我的 Amazon Elastic Compute Cloud(Amazon EC2)Linux 实例已更新并且不会出现漏洞。

解决方法

查看可用更新

**注意:**Amazon Linux 2 使用 yum 命令,Amazon Linux 2023 使用 dnf 命令。

要检查您的 Linux 实例是否存在可用软件包更新,包括安全补丁和错误修复,请运行以下命令:

Amazon Linux 2:

sudo yum check-update

Amazon Linux 2023:

sudo dnf check-update

在命令的输出中,查看与安全相关的更新列表或关键系统包(例如 kernelOpenSSL 或其他核心库)的更新。

**注意:**Amazon Linux 2023 使用版本控制存储库。默认情况下,每个 Amazon Linux 2023 亚马逊机器映像(AMI)都锁定了特定的存储库版本。如果有更高版本的 Amazon Linux,请运行 yum check-update 命令以获取有关可用更新版本的信息。

要接收 Amazon Linux 2023 的最新补丁和更新,请升级到更高版本。

要查看 Amazon Linux 2023 的当前发行版本,请运行以下命令:

sudo dnf list installed | grep system-release

要查看所有可用的发行版本,请运行以下命令:

sudo dnf --showduplicates list system-release --releasever=latest

要检查特定发行版本的可用更新,请运行以下命令:

sudo dnf --releasever=release_version_number check-update

**注意:**将 release_version_number 替换为要检查更新的发行版本。

要检查最新发行版本的可用更新,请运行以下命令:

sudo dnf --releasever=latest check-update

要升级到特定的发行版本,请运行以下命令:

sudo dnf upgrade --releasever=release_version_number

**注意:**将 release_version_number 替换为要升级到的发行版本。

要升级到最新版本,请运行以下命令:

sudo dnf upgrade --releasever=latest

列出安全更新

Amazon Linux 2

要列出所有可用的安全更新,请运行以下命令:

sudo yum updateinfo list --security

要查看当前安装的安全更新清单,请运行以下命令:

sudo yum updateinfo list --security installed

Amazon Linux 2023

运行以下命令列出特定发行版本的所有可用安全更新:

sudo dnf updateinfo list --security --releasever=release_version_number

**注意:**将 release_version_number 替换为所需的安全更新的发行版本。

运行以下命令以列出最新发行版本中的所有可用安全更新:

sudo dnf updateinfo list --security --releasever=latest

安装安全更新

Amazon Linux 2

要仅安装与安全相关的更新,请运行以下命令:

sudo yum update --security

Amazon Linux 2023

要仅安装特定发行版本的安全更新,请运行以下命令:

sudo dnf update --security --releasever=release_version_number

**注意:**将 release_version_number 替换为要安装安全更新的发行版本。

要仅安装最新发行版本的安全更新,请运行以下命令:

sudo dnf update --security --releasever=latest

查找和修补 Amazon EC2 Linux 实例的常见漏洞和暴露(CVE)

针对影响 Amazon Linux 2 和 Amazon Linux 2023 的常见漏洞和暴露(CVE),亚马逊在 Amazon Linux 安全中心发布安全公告。

要根据安全公告查找和修补您的实例,请完成以下步骤:

  1. 打开 Amazon Linux 2Amazon Linux 2023 CVE。
  2. 检查您使用的 Amazon Linux 版本是否受到影响。
  3. 选择针对 AWS 资源或服务的公告。查找有关 CVE、受影响程序包、解决方案,以及新软件包及软件包版本清单的详细信息。
  4. 记下该公告。要检查补丁是否已安装,请运行以下命令:
    sudo yum updateinfo list --security installed | grep 'ALAS2-2024-2607'
    **注意:**将 ALAS2-2024-2607 替换为要检查的安全公告标识码。如果输出显示相关安全公告条目,则表明已安装了针对该漏洞的补丁。

查看 Amazon EKS 和 Elastic Beanstalk 版本或存储库锁

Amazon Elastic Kubernetes Service(Amazon EKS)和 AWS Elastic Beanstalk AMI 将关键软件包或整个存储库锁定到特定版本,以实现最佳性能。这有助于防止意外更改而改变环境的兼容性。

Amazon Linux 2

要查看 Amazon EKS 的版本锁定包,请运行以下命令:

sudo yum versionlock list

有关版本锁定 EKS AMI 的更多信息,请参阅 GitHub 网站上的 Version-locked packages

要查看 Elastic Beanstalk 的版本锁定包,请运行以下命令:

sudo /opt/elasticbeanstalk/bin/pkg-repo status

有关 Elastic Beanstalk 存储库锁的更多信息,请参阅 Platform script tools for your Elastic Beanstalk environments

Amazon Linux 2023

Amazon Linux 2023 AMI 被锁定到特定的存储库版本。有关如何在 Amazon Linux 2023 上管理存储库和更新的更多信息,请参阅 Manage package and operating system updates in AL2023

迁移到更高版本以获得软件支持

在某些情况下,您必须迁移到更高版本的 Amazon Linux 才能获得对最新软件版本的支持。或者,在开发者不再支持早期版本之后,使用更高版本继续接收安全更新。

以下是需要升级到更高版本才能获得支持的用例示例:

**重要事项:**在升级到更高版本或其他版本的 Amazon EC2 Linux 之前,请测试您的应用程序和服务的兼容性。

相关信息

Amazon Linux 2 常见问题

Amazon Linux 2023 常见问题

Deterministic upgrades through versioned repositories on AL2023

AWS 官方
AWS 官方已更新 2 个月前