Limitaciones Configuraciones admitidas y requisitos previos Usar Kernel Live Patching

Aplicación de parches activos del kernel en AL2023

Puede usar Kernel Live Patching para AL2023 para aplicar revisiones de vulnerabilidad de seguridad y de errores críticos específicos a un código kernel de Linux en ejecución, sin reinicios ni interrupciones en las aplicaciones en ejecución. Además, Kernel Live Patching permite mejorar la disponibilidad de aplicaciones, a la vez que aplica estas correcciones hasta que el sistema pueda reiniciarse.

AWS lanza dos tipos de parches activos del kernel para AL2023:

Actualizaciones de seguridad: incluye actualizaciones para vulnerabilidades y exposiciones comunes de Linux (CVE). Normalmente, estas actualizaciones se califican como importantes o críticas mediante las clasificaciones de Amazon Linux Security Advisory. Por lo general, se asignan a una puntuación del sistema de clasificación de vulnerabilidades comunes (CVSS) de 7 o superior. En algunos casos, AWS puede proporcionar actualizaciones antes de asignar un CVE. En estos casos, los parches pueden aparecer como correcciones de errores.
Correcciones de errores: incluye correcciones de errores críticos y problemas de estabilidad que no están asociados con CVE.

AWS proporciona parches en tiempo real del kernel para una versión del kernel de AL2023 durante un máximo de 3 meses después de su lanzamiento. Después de este período, debe actualizar a una versión posterior del kernel para continuar recibiendo parches activos del kernel.

Los parches activos del kernel de AL2023 están disponibles como paquetes RPM firmados en los repositorios AL2023 existentes. Los parches se pueden instalar en instancias individuales mediante flujos de trabajo del administrador de paquetes DNF existentes. O también, se pueden instalar en un grupo de instancias administradas mediante AWS Systems Manager.

Kernel Live Patching para AL2023 se proporciona sin costo adicional.

Temas

Limitaciones
Configuraciones admitidas y requisitos previos
Usar Kernel Live Patching

Limitaciones

Al aplicar un parche activo del kernel, no se puede realizar la hibernación, utilizar herramientas avanzadas de depuración (como SystemTap, kprobes y herramientas basadas en eBPF) ni acceder a los archivos de salida de ftraceutilizados por la infraestructura de Kernel Live Patching.

nota

Debido a limitaciones técnicas, algunos problemas no se pueden solucionar con los parches activos. Por este motivo, estas correcciones no se incluirán en el paquete de parches activos del kernel, sino únicamente en la actualización del paquete nativo del kernel. Puede instalar el paquete nativo del kernel y actualizar y reiniciar el sistema para activar los parches como de costumbre.

Configuraciones admitidas y requisitos previos

Kernel Live Patching es compatible con instancias de Amazon EC2 y máquinas virtuales en las instalaciones que ejecutan AL2023.

Para usar Kernel Live Patching en AL2023, debe utilizar:

Una arquitectura x86_64 o ARM64 de 64 bits
Versión 6.1 o 6.12 del kernel

Requisitos de política

Para descargar paquetes de los repositorios de AL2023, Amazon EC2 necesita acceso a los buckets de Amazon S3 que son propiedad del servicio. Si utiliza un punto de conexión de Amazon Virtual Private Cloud (VPC) para Amazon S3 en su entorno, asegúrese de que su política de punto de conexión de VPC permita el acceso a esos buckets públicos. En la tabla, se describe cada uno de los buckets de Amazon S3 a los que Amazon EC2 puede necesitar acceder para Kernel Live Patching.

ARN del bucket de S3	Descripción
arn:aws:s3:::al2023-repos-`region`-de612dc2/*	Bucket de Amazon S3 que contiene repositorios de AL2023

Usar Kernel Live Patching

Puede habilitar y utilizar Kernel Live Patching en instancias individuales mediante la línea de comandos de la propia instancia. Como alternativa, puede habilitar y utilizar Kernel Live Patching en un grupo de instancias administradas mediante AWS Systems Manager.

En las siguientes secciones se explica cómo habilitar y usar Kernel Live Patching en instancias individuales mediante la línea de comandos.

Para obtener más información sobre cómo habilitar y utilizar Kernel Live Patching en un grupo de instancias administradas, consulte Uso de Kernel Live Patching en instancias de AL2023 en la Guía del usuario de AWS Systems Manager.

Temas

Habilitar Kernel Live Patching
Visualizar los parches activos disponibles del kernel
Aplicar parches activos del kernel.
Ver los parches activos del kernel aplicados
Deshabilitar Kernel Live Patching

Habilitar Kernel Live Patching

Kernel Live Patching está deshabilitado de forma predeterminada en AL2023. Para usar parches activos, debe instalar el complemento DNF de Kernel Live Patching y habilitar la funcionalidad de parches activos.

Para habilitar Kernel Live Patching

Los parches activos del kernel están disponibles para AL2023 con la versión del kernel 6.1 o posterior. Para verificar la versión del kernel, ejecute el siguiente comando.
```
$ sudo dnf list kernel
```
Instalar el complemento DNF de Kernel Live Patching.
```
$ sudo dnf install -y kpatch-dnf
```
Habilitar el complemento DNF de Kernel Live Patching.
```
$ sudo dnf kernel-livepatch -y auto
```
Este comando también instala la última versión del RPM del parche activo del kernel desde los repositorios configurados.
Para confirmar que el complemento DNF de Kernel Live Patching se ha instalado correctamente, ejecute el siguiente comando.

Cuando habilite Kernel Live Patching, se aplica automáticamente un RPM de parche activo del kernel vacío. Si Kernel Live Patching se habilitó correctamente, este comando devuelve una lista que incluye el RPM inicial vacío del parche activo del kernel (y otro RPM que configura el repositorio DNF que contiene los parches activos).
```
$ sudo rpm -qa | grep kernel-livepatch
kernel-livepatch-repo-s3-2023.7.20250428-0.amzn2023.noarch
kernel-livepatch-6.1.134-150.224-1.0-0.amzn2023.x86_64
```
Instale el paquete kpatch.
```
$ sudo dnf install -y kpatch-runtime
```
Actualice el servicio kpatch si se instaló previamente.
```
$ sudo dnf upgrade kpatch-runtime
```
Inicie el servicio kpatch. Este servicio carga todos los parches activos del kernel al inicializar o al arrancar.
```
$ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service
```

Visualizar los parches activos disponibles del kernel

Las alertas de seguridad de Amazon Linux se publican en el Centro de seguridad de Amazon Linux. Para obtener más información acerca de las alertas de seguridad de AL2023, que incluyen alertas para parches activos del kernel, consulte el Centro de seguridad de Amazon Linux. Los parches activos del kernel tienen el prefijo ALASLIVEPATCH. Es posible que el Centro de seguridad de Amazon Linux no incluya revisiones activas del kernel que resuelven errores.

También puede descubrir los parches activos del kernel disponibles para avisos y CVE mediante la línea de comandos.

Para enumerar todos los parches activos del kernel disponibles para avisos.

Utilice el siguiente comando.


$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Para enumerar todos los parches activos del kernel disponibles para los CVE.

Utilice el siguiente comando.


$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Aplicar parches activos del kernel.

Aplicar parches activos del kernel con el administrador de paquetes DNF de la misma manera que aplicaría actualizaciones regulares. El complemento DNF para Kernel Live Patching administra los parches activos del kernel que se van a aplicar.

sugerencia

Le recomendamos que actualice el kernel regularmente con Kernel Live Patching para asegurarse de que recibe correcciones de seguridad específicas importantes y críticas hasta que el sistema pueda reiniciarse. Compruebe también si hay disponibles correcciones adicionales para el paquete nativo del núcleo que no se puedan implementar como parches activos y, en esos casos, actualice y reinicie con la actualización del kernel.

Puede optar por aplicar un parche activo específico del kernel o aplicar cualquier parche activo del kernel disponible junto con las actualizaciones de seguridad regulares.

Para aplicar un parche activo del codigo kernel específico.

Obtenga la versión del parche activo del kernel con uno de los comandos descritos en Visualizar los parches activos disponibles del kernel.
Aplique el parche activo del kernel para su kernel de AL2023.
```
$ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64
```
Por ejemplo, el siguiente comando aplica un parche activo del kernel para la versión 6.1.12-17.42 del kernel de AL2023.
```
$ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
```

Para aplicar los parches activos del kernel disponibles junto con las actualizaciones de seguridad regulares

Utilice el siguiente comando.


$ sudo dnf upgrade --security

Omita la opción --security para incluir correcciones de errores.

importante

La versión del kernel no se actualiza después de aplicar parches activos del kernel. La versión solo se actualiza a la nueva versión después de reiniciar la instancia.
El kernel de AL2023 recibe parches activos del kernel durante un período de 3 meses. Una vez transcurrido este período, no se lanzan nuevos parches activos del kernel para esa versión del kernel.
Para continuar recibiendo parches activos del kernel después de 3 meses, debe reiniciar la instancia para pasar a la nueva versión del kernel. La instancia seguirá recibiendo parches activos del kernel durante los 3 meses siguientes a la actualización.

Para verificar la ventana de soporte para la versión del kernel, ejecute el siguiente comando:


$ sudo dnf kernel-livepatch support
The current version of the Linux kernel you are running will no longer receive live patches after 2025-07-22.

Ver los parches activos del kernel aplicados

Para ver los parches activos del kernel aplicados

Utilice el siguiente comando.


$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

El comando devuelve una lista de los parches activos del kernel de actualización de seguridad cargados e instalados. A continuación, se muestra un ejemplo del resultado.

nota

Un único parche activo del kernel puede incluir e instalar varios parches activos.

Deshabilitar Kernel Live Patching

Si ya no necesita utilizar Kernel Live Patching, puede desactivarlo en cualquier momento.

Deshabilitar el uso de livepatches:
1. Deshabilitar el complemento:
```
$ sudo dnf kernel-livepatch manual
```
2. Deshabilitar el servicio kpatch:
```
$ sudo systemctl disable --now kpatch.service
```
Quitar completamente las herramientas livepatch:
1. Eliminar el complemento:
```
$ sudo dnf remove kpatch-dnf
```
2. Eliminar kpatch-runtime:
```
$ sudo dnf remove kpatch-runtime
```
3. Eliminar todo lo que esté instalado en livepatches:
```
$ sudo dnf remove kernel-livepatch\*
```

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de actualizaciones

Actualizaciones del kernel