Patch Manager で特定のパッケージを適用対象から除外してみた

はじめに

テクニカルサポートの菊池です。
お客様より Patch Manager で特定のパッケージを適用対象から外したいというお問い合わせを頂いたため、自分でも試してみました。

やってみた

今回は RHEL の kernel パッケージを適用するパッチから除外してみました。
Red Hat Enterprise Linux 9.6のインスタンスを使って検証していきます。

パッチ適用前の kernel のパッケージを確認してみます。

rpm -qa | grep kernel
kernel-tools-libs-5.14.0-570.12.1.el9_6.x86_64
kernel-tools-5.14.0-570.12.1.el9_6.x86_64
kernel-modules-core-5.14.0-570.12.1.el9_6.x86_64
kernel-core-5.14.0-570.12.1.el9_6.x86_64
kernel-modules-5.14.0-570.12.1.el9_6.x86_64
kernel-5.14.0-570.12.1.el9_6.x86_64

カスタムパッチベースラインを以下のような設定で作成します。
「拒否されたパッチ」には「kernel」とパッケージの名前を設定しました。
また、インストールされないように拒否されたパッチのアクションとして「ブロック」を設定します。

次に、パッチベースラインにパッチグループを設定します。

インスタンスに「Patch Group」というタグを設定します。

それでは、「今すぐパッチ適用」をやっていきましょう。

このような設定でスキャンとインストールを行います。

想定通りkernelパッケージはインストールされませんでした！
パッケージが 拒否済みパッチに追加される前にインストールされている場合は InstalledRejected と表示されるようです。

以下、参考資料より引用

ブロック: [拒否済みパッチ] リスト内のパッケージ、およびそれらを依存関係として含むパッケージは、いずれの状況でもインストールされません。パッケージが [Rejected patches (拒否済みパッチ)] リストに追加される前にインストールされている場合は、そのパッチはパッチベースラインに準拠していないとみなされ、そのステータスは InstalledRejected として報告されます。

まとめ

本ブログが誰かの参考になれば幸いです。

参考資料

• Linux 用 カスタムパッチベースラインの作成 - AWS Systems Manager