はじめに
運用しているAmazon Linuxのサーバーで、yum updateが自動的に適用されるという事象が発生しました。場合によっては一大事です。
踏み台(bastion)サーバにはyum-cronを設定していたりしますが、ウェブサーバでは基本的に自動アップデートは設定していません。 確認したところ、Amazon Linux/Amazon Linux2サーバでは、初回起動時に重要なセキュリティアップデートが自動的に適用されることがわかりました。
踏み台(bastion)サーバにはyum-cronを設定していたりしますが、ウェブサーバでは基本的に自動アップデートは設定していません。 確認したところ、Amazon Linux/Amazon Linux2サーバでは、初回起動時に重要なセキュリティアップデートが自動的に適用されることがわかりました。
情報源
https://aws.amazon.com/jp/amazon-linux-ami/faqs/より。
Q: 初回起動時に非常に重要なセキュリティアップデートの自動インストールを無効にするにはどうすればよいですか?https://aws.amazon.com/jp/amazon-linux-2/faqs/より。
初回起動時に Amazon Linux AMI では、パッケージリポジトリから、必須または重要と思われるすべてのユーザースペースセキュリティアップデートがインストールされます。このインストールは、SSH などのサービスが開始される前に実行されます。
Q: Amazon Linux 2 の更新はどこで入手できますか?
(略)(重要かつ必須の) セキュリティ更新は初回起動時に自動的に適用されます。
まじかー
自動アップデートを無効化する
ということで、自動的に適用されるのを無効化しましょう。インスタンス作成時に、高度な詳細欄に以下を入力します。
#cloud-config repo_upgrade: none
これで起動時のセキュリティ自動更新を無効化できました。
ただし、起動後はセキュリティ自動更新は無視せず、きちんと適用するようにしましょう。
こわいこわい・・・
ただし、起動後はセキュリティ自動更新は無視せず、きちんと適用するようにしましょう。
こわいこわい・・・
