기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Linux 보안 업데이트 관리
<a name="workingsecurity-updates"></a>

**중요**  
이 AWS OpsWorks Stacks 서비스는 2024년 5월 26일에 수명이 종료되었으며 신규 및 기존 고객 모두에서 비활성화되었습니다. 가능한 한 빨리 워크로드를 다른 솔루션으로 마이그레이션하는 것이 좋습니다. 마이그레이션에 대한 질문이 있는 경우 [AWS re:Post](https://repost.aws/) 또는 [AWS Premium Support](https://aws.amazon.com/support)를 통해 AWS Support 팀에 문의하세요.

## 보안 업데이트
<a name="bestpractice-secupdates"></a>

Linux 운영 체제 공급자는 정기적 업데이트를 제공합니다. 이러한 업데이트는 대부분 운영 체제 보안 패치이지만 설치된 패키지에 대한 업데이트도 포함될 수 있습니다. 인스턴스의 운영 체제에 항상 최신 보안 패치가 적용되도록 해야 합니다.

기본적으로 OpsWorks Stacks는 인스턴스 부팅이 완료된 후 설정 중에 최신 업데이트를 자동으로 설치합니다. OpsWorks Stacks는 애플리케이션 서버 재시작과 같은 중단을 방지하기 위해 인스턴스가 온라인 상태가 된 후에는 업데이트를 자동으로 설치하지 않습니다. 그 대신 사용자가 온라인 인스턴스에 대한 업데이트를 직접 관리합니다. 그러므로 중단을 최소화할 수 있습니다.

다음 방법 중 하나를 사용하여 온라인 인스턴스를 업데이트할 것을 권장합니다.
+ 새 인스턴스를 생성하여 현재 온라인 인스턴스를 대체합니다. 그런 다음 현재 인스턴스를 삭제합니다.

  새 인스턴스에는 설정 중 최신 보안 패치가 설치됩니다.
+ Chef 11.10 또는 이전 스택의 Linux 기반 인스턴스에서는 [Update Dependencies 스택 명령](workingstacks-commands.md)을 실행합니다. 이 명령은 지정된 인스턴스에 최신 보안 패치 및 기타 업데이트를 설치합니다.

이러한 두 가지 접근 방식 모두에서 OpsWorks Stacks는 `yum update` Amazon Linux 및 Red Hat Enterprise Linux(RHEL) 또는 Ubuntu`apt-get update`에 대해를 실행하여 업데이트를 수행합니다. 각 배포는 업데이트를 약간 다르게 처리합니다. 그러므로 연결된 링크에서 정보를 확인하여 업데이트가 인스턴스에 어떤 영향을 미치는지 정확히 파악해야 합니다.
+ **Amazon Linux** – Amazon Linux 업데이트는 보안 패치를 설치하며 패키지 업데이트를 포함한 기능 업데이트도 설치할 수 있습니다.

  자세한 내용은 [Amazon Linux AMI FAQ](https://aws.amazon.com/amazon-linux-ami/faqs/#lock)를 참조하세요.
+ **Ubuntu** – Ubuntu 업데이트는 주로 보안 패치 설치로 국한되지만, 일부 중요 수정을 위한 패키지 업데이트도 설치할 수 있습니다.

  자세한 정보는 [LTS - Ubuntu Wiki](https://wiki.ubuntu.com/LTS)를 참조하세요.
+ **CentOS** – CentOS는 전반적으로 이전 버전과의 바이너리 호환성을 유지합니다.
+ **RHEL** – RHEL은 전반적으로 이전 버전과의 바이너리 호환성을 유지합니다.

  자세한 정보는 [Red Hat Enterprise Linux Life Cycle](https://access.redhat.com/support/policy/updates/errata/) 단원을 참조하세요.

특정 패키지 버전을 지정하는 등 업데이트를 더 세밀하게 제어하려면 [CreateInstance](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateInstance.html), [UpdateInstance](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_UpdateInstance.html), [CreateLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateLayer.html), 또는 [UpdateLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_UpdateLayer.html) 작업 또는 이에 상응하는 [AWS SDK](https://aws.amazon.com/tools/) 방법 또는 [AWS CLI](https://aws.amazon.com/documentation/cli/) 명령을 사용하여 `InstallUpdatesOnBoot` 파라미터를 `false`로 설정하여 자동 업데이트를 비활성화할 수 있습니다. 다음 예제는 AWS CLI를 사용하여 기존 계층의 기본 설정으로 `InstallUpdatesOnBoot`를 비활성화하는 방법을 보여줍니다.

```
aws opsworks update-layer --layer-id layer ID --no-install-updates-on-boot
```

그러면 사용자가 업데이트를 직접 관리해야 합니다. 예를 들어 다음 전략 중 하나를 채택할 수 있습니다.
+ [적절한 shell 명령](cookbooks-101-basics-commands.md#cookbooks-101-basics-commands-script)을 실행하여 선호하는 업데이트를 설치하는 사용자 지정 레시피를 구현합니다.

  시스템 업데이트가 자연스럽게 [수명 주기 이벤트](workingcookbook-events.md)와 매핑되지 않으므로 사용자 지정 쿡북에 레시피를 포함하되 [수동으로 레시피를 실행](workingcookbook-manual.md)합니다. 패키지 업데이트의 경우 shell 명령 대신 [yum\$1package](https://docs.chef.io/chef/resources.html#yum-package)(Amazon Linux) 또는 [apt\$1package](https://docs.chef.io/chef/resources.html#apt-package)(Ubuntu) 리소스를 사용할 수도 있습니다.
+ [SSH를 사용하여 각 인스턴스에 로그인](workinginstances-ssh.md)하고 수동으로 적절한 명령을 실행합니다.