Elastic Beanstalk 安全补丁

Posted 2023-03-04

【中文标题】Elastic Beanstalk 安全补丁

【英文标题】：Elastic Beanstalk security patches

【发布时间】：2013-04-15 15:03:56

【问题描述】：

我目前在 all 我的 ec2-instances 上使用带有无人值守升级的 Ubuntu，以关闭任何令人讨厌的漏洞，但是当通过 Elastic beanstalk 运行应用程序时，我看不到任何关于如何处理的选项给他们打补丁。唯一的选择是手动登录并运行 yum。

有没有人想过如何处理 Elastic Beanstalk 实例上的安全补丁？

【问题讨论】：

这个问题有点老了，但是对于阅读 Beanstalk 的任何人来说，您应该使用 Chef、Puppet、Ansible、Salt 或类似的 CM，以便实例在启动时自行设置并正确配置细粒度控制。当然，如果你走这条路，你也可以使用 OpWorks 或裸 EC2+CM。

您使用 Beanstalk 的原因是不需要运行其他任何东西。

我同意你的看法。然而，在我们使用 Beanstalk 托管的应用程序中，我们设置了几个 cron 作业（使用 ebextensions）来进行自动修补、备份和日志处理。然而，自动修补总是让我感到紧张（如果它坏了，它会破坏所有服务器），所以对于一个非常关键的应用程序，我仍然手动进行修补（在这个上，补丁只在部署时完成，所以我只是重新部署） . Beanstalk 为我们简化了大部分任务（我非常喜欢它），但它可能仍需要根据您的需要进行一些定制。

【参考方案1】：

我们在 .ebextensions/01run.config 文件中添加了以下内容来解决此问题：

commands:
  security_updates: 
    command: "yum update -y --security"

【讨论】：

这只会在实例启动时部署安全补丁，而不是在机器运行时部署发布的补丁。我希望亚马逊 rhel 克隆的无人值守升级。

不过，它会在您的实例终止并重新启动时运行。有一个名为 yum crontab 的应用程序可能会有所帮助，它会在夜间更新。

【参考方案2】：

您可以使用每晚或每小时的 cron 作业运行以下命令。

bash sudo yum update --sec-severity=critical,important

想想如果补丁导致您的应用程序失败，您将如何进行回滚和通知。

【讨论】：

在将安全补丁推送到 Amazon linux 存储库之前，Amazon QA 的安全性如何？ yum 是否会在需要时重新启动修补服务？它会在需要时重新启动实例吗？在我看来，弹性豆茎的整个安全补丁方面只是从亚马逊的图片中忽略了。