Пачове за сигурност на Elastic Beanstalk

В момента използвам Ubuntu с Unattended-upgrades на всички мои ec2-инстанции, за да запазя всякакви неприятни дупки затворени, но когато стартирам приложения чрез Elastic beanstalk, не виждам никаква опция за това как да се справя с кръпките към тях . Единствената алтернатива е ръчно да влезете в тях и да стартирате yum.

Някой мислил ли е за това как да се справи с пачовете за сигурност на екземплярите на Elastic Beanstalk?


security amazon-elastic-beanstalk amazon patch
person glance    schedule 22.04.2013    source източник
comment
Този въпрос е малко стар, но за всеки, който чете, с Beanstalk трябва да използвате Chef, Puppet, Ansible, Salt или подобен CM, така че екземплярите да се настройват сами при зареждане и да се поддържат правилно конфигурирани с фино контрол. Разбира се, ако тръгнете по този път, можете също да използвате OpWorks или голи EC2+CM.   -  person MV.    schedule 27.10.2015
comment
Причината, поради която бихте използвали Beanstalk, е да не е необходимо да стартирате нищо друго.   -  person glance    schedule 11.01.2016
comment
Съгласен съм с теб. И все пак в нашите приложения, хоствани с помощта на Beanstalk, ние зададохме няколко задания на cron (използвайки ebextensions) за извършване на автоматизирани корекции, архивиране и обработка на журнали. Въпреки това автоматичното корекция винаги ме е изнервяло (ако се счупи, ще счупи всички сървъри) и затова за едно много критично приложение все още правя корекцията ръчно (на това корекцията се извършва само при внедряване, така че просто преразпределям) . Beanstalk опрости повечето задачи за нас (много ми харесва), но все пак може да изисква известна персонализация според вашите нужди.   -  person MV.    schedule 12.01.2016

Отговори (2)


arrow_upward
12
arrow_downward

Добавихме следното към нашия файл .ebextensions/01run.config, за да разрешим този проблем:

commands:
  security_updates: 
    command: "yum update -y --security"
person Mike Carson    schedule 02.06.2013
comment
Това просто ще внедри корекциите за сигурност при стартиране на екземпляра, а не ще внедри корекции, пуснати, докато машините работят. Надявах се на нещо повече като необслужвани надстройки за клонинга rhel на Amazon. - person glance; 07.11.2013
comment
въпреки това, той се изпълнява, когато екземплярът ви бъде прекратен и се връща обратно. Има приложение, наречено yum crontab, което може да помогне, то прави нощни актуализации. - person radtek; 27.11.2014

arrow_upward
3
arrow_downward

Можете да стартирате следното, като използвате нощно или почасово задание на cron.

bash sudo yum update --sec-severity=critical,important

Просто помислете как ще направите връщане назад и известяване в случай, че корекция причини отказ на вашето приложение.

person Michael Connor    schedule 07.02.2014
comment
Колко добре прави Amazon QA там корекциите за сигурност, преди да ги бутне към там Amazon linux repos? Рестартира ли yum пачвани услуги, когато е необходимо? Рестартира ли инстанцията, когато е необходимо? Струва ми се, че целият аспект на корекцията на сигурността на еластичното бобено стъбло е просто пропуснат от картината на Amazon. - person glance; 17.08.2014