Исправления безопасности Elastic Beanstalk

В настоящее время я использую Ubuntu с автоматическими обновлениями на всех моих экземплярах ec2, чтобы закрыть любые неприятные дыры, но при запуске приложений через Elastic beanstalk я не вижу никаких вариантов того, как обрабатывать их патчами. . Единственная альтернатива — войти в них вручную и запустить yum.

Кто-нибудь задумывался о том, как обращаться с исправлениями безопасности на экземплярах Elastic Beanstalk?


security amazon-elastic-beanstalk amazon patch
person glance    schedule 22.04.2013    source источник
comment
Этот вопрос немного устарел, но для тех, кто читает, с Beanstalk вы должны использовать Chef, Puppet, Ansible, Salt или аналогичный CM, чтобы экземпляры настраивались при загрузке и сохраняли правильную настройку с точным контролем. Конечно, если вы пойдете по этому пути, вы также можете использовать OpWorks или голый EC2+CM.   -  person MV.    schedule 27.10.2015
comment
Причина, по которой вы будете использовать Beanstalk, заключается в том, что вам не нужно запускать что-либо еще.   -  person glance    schedule 11.01.2016
comment
Я с тобой согласен. Тем не менее, в наших приложениях, размещенных с помощью Beanstalk, мы установили несколько заданий cron (используя ebextensions) для автоматического исправления, резервного копирования и обработки журналов. Тем не менее, автоматическое исправление всегда заставляло меня нервничать (если оно сломается, это приведет к поломке всех серверов), поэтому для одного очень важного приложения я все еще делаю исправление вручную (в этом исправление выполняется только при развертывании, поэтому я просто повторно развертываю). . Beanstalk упростил для нас большую часть задач (мне он очень нравится), но все же может потребовать некоторой настройки в соответствии с вашими потребностями.   -  person MV.    schedule 12.01.2016

Ответы (2)


arrow_upward
12
arrow_downward

Для решения этой проблемы мы добавили в наш файл .ebextensions/01run.config следующее:

commands:
  security_updates: 
    command: "yum update -y --security"
person Mike Carson    schedule 02.06.2013
comment
Это просто развертывание исправлений безопасности при запуске экземпляра, а не развертывание исправлений, выпущенных во время работы машин. Я надеялся на что-то более похожее на автоматические обновления для клона Amazon rhel. - person glance; 07.11.2013
comment
тем не менее, он запускается, когда ваш экземпляр завершается и возвращается. Есть приложение под названием yum crontab, которое может помочь, оно делает ночные обновления. - person radtek; 27.11.2014

arrow_upward
3
arrow_downward

Вы можете запустить следующее, используя ночное или ежечасное задание cron.

bash sudo yum update --sec-severity=critical,important

Просто подумайте, как вы будете выполнять откат и уведомление в случае, если патч приведет к сбою вашего приложения.

person Michael Connor    schedule 07.02.2014
comment
Насколько хорошо Amazon QA устанавливает исправления безопасности, прежде чем отправлять их в репозитории Amazon Linux? Перезапускает ли yum исправленные службы при необходимости? Перезагружает ли он экземпляр при необходимости? Мне кажется, что весь аспект исправления безопасности эластичного бобового стебля просто исключен из картины Amazon. - person glance; 17.08.2014