Elastic Beanstalk 安全补丁答案

【问题标题】：Elastic Beanstalk security patchesElastic Beanstalk 安全补丁
【发布时间】：2013-04-15 15:03:56
【问题描述】：

我目前在 all 我的 ec2-instances 上使用带有无人值守升级的 Ubuntu，以关闭任何令人讨厌的漏洞，但是当通过 Elastic beanstalk 运行应用程序时，我看不到任何关于如何处理的选项给他们打补丁。唯一的选择是手动登录并运行 yum。

有没有人想过如何处理 Elastic Beanstalk 实例上的安全补丁？

【问题讨论】：

这个问题有点老了，但是对于阅读 Beanstalk 的任何人来说，您应该使用 Chef、Puppet、Ansible、Salt 或类似的 CM，以便实例在启动时自行设置并正确配置细粒度控制。当然，如果你走这条路，你也可以使用 OpWorks 或裸 EC2+CM。
您使用 Beanstalk 的原因是不需要运行其他任何东西。
我同意你的看法。然而，在我们使用 Beanstalk 托管的应用程序中，我们设置了几个 cron 作业（使用 ebextensions）来进行自动修补、备份和日志处理。然而，自动修补总是让我感到紧张（如果它坏了，它会破坏所有服务器），所以对于一个非常关键的应用程序，我仍然手动进行修补（在这个上，补丁只在部署时完成，所以我只是重新部署） . Beanstalk 为我们简化了大部分任务（我非常喜欢它），但它可能仍需要根据您的需要进行一些定制。

【解决方案1】：

我们在 .ebextensions/01run.config 文件中添加了以下内容来解决此问题：

commands:
  security_updates: 
    command: "yum update -y --security"

【讨论】：

【解决方案2】：

您可以使用每晚或每小时的 cron 作业运行以下命令。

bash sudo yum update --sec-severity=critical,important

想想如果补丁导致您的应用程序失败，您将如何进行回滚和通知。

【讨论】：

在将安全补丁推送到 Amazon linux 存储库之前，Amazon QA 的安全性如何？ yum 是否会在需要时重新启动修补服务？它会在需要时重新启动实例吗？在我看来，弹性豆茎的整个安全补丁方面只是从亚马逊的图片中忽略了。