Kernel Live Patching en 2023 AL2 - Amazon Linux 2023
LimitesConfigurations et conditions préalables prises en chargeUtiliser l’application Kernel Live Patching

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Kernel Live Patching en 2023 AL2

Vous pouvez utiliser Kernel Live Patching for AL2 023 pour appliquer une vulnérabilité de sécurité spécifique et des correctifs de bogues critiques à un noyau Linux en cours d'exécution sans redémarrer ni perturber le fonctionnement des applications. En outre, Kernel Live Patching peut contribuer à améliorer la disponibilité de votre application tout en appliquant ces correctifs jusqu'à ce que le système puisse être redémarré.

AWS publie deux types de correctifs dynamiques du noyau pour AL2 023 :

  • Mises à jour de sécurité : incluent des mises à jour pour les failles et vulnérabilités communes (CVE) Linux. Ces mises à jour sont généralement jugées importantes ou critiques à l’aide des évaluations Amazon Linux de sécurité. Elles correspondent généralement à un score CVSS (Common Vulnerability Scoring System) égal à 7 ou plus. Dans certains cas, AWS peut fournir des mises à jour avant qu'un CVE ne soit attribué. Dans ces cas, les correctifs peuvent apparaître comme des correctifs de bogues.

  • Corrections de bogues — Incluez des correctifs pour les bogues critiques et les problèmes de stabilité qui ne sont pas associés à CVEs.

AWS fournit des correctifs dynamiques du noyau pour une version AL2 023 du noyau jusqu'à 3 mois après sa publication. Après cette période, vous devez effectuer une mise à jour vers une version ultérieure du noyau pour continuer à recevoir les correctifs à chaud du noyau.

AL2Les correctifs dynamiques du noyau 023 sont disponibles sous forme de packages RPM signés dans les référentiels AL2 023 existants. Les correctifs peuvent être installés sur des instances individuelles à l'aide des flux de travail du gestionnaire de packages DNF existants. Ils peuvent également être installés sur un groupe d'instances gérées à l'aide de AWS Systems Manager.

Kernel Live Patching le AL2 023 est fourni sans frais supplémentaires.

Limites

Lors de l'application d'un correctif à chaud du noyau, vous ne pouvez pas effectuer de mise en veille prolongée, utiliser des outils de débogage avancés (tels que des outils basés sur SystemTap, kprobes et eBPF) ou accéder aux fichiers de sortie ftrace utilisés par l'infrastructure Kernel Live Patching.

Note

En raison de limitations techniques, certains problèmes ne peuvent pas être résolus par l'application de correctifs en direct. Pour cette raison, ces correctifs ne seront pas fournis dans le package de mise à jour dynamique du noyau, mais uniquement dans le package de mise à jour du package natif du noyau. Vous pouvez installer le package du noyau natif, mettre à jour et redémarrer le système pour activer les correctifs comme d'habitude.

Configurations et conditions préalables prises en charge

Kernel Live Patching est pris en charge sur les EC2 instances Amazon et les machines virtuelles sur site qui exécutent AL2 023.

Pour utiliser Kernel Live Patching sur AL2 023, vous devez utiliser ce qui suit :

  • Une architecture x86_64 ou ARM64 64 bits

  • Noyau version 6.1

Exigences des stratégies

Pour télécharger des packages depuis des référentiels AL2 023, Amazon EC2 doit avoir accès aux compartiments Amazon S3 détenus par le service. Si vous utilisez un point de terminaison Amazon Virtual Private Cloud (VPC) pour Amazon S3 dans votre environnement, assurez-vous que votre politique de point de terminaison VPC autorise l'accès à ces compartiments publics. Le tableau suivant décrit le compartiment Amazon S3 auquel Amazon EC2 peut avoir besoin pour accéder à Kernel Live Patching.

ARN de compartiment S3 Description

arn:aws:s3 : ::al2023-repos- -de612dc2/* region

Compartiment Amazon S3 contenant AL2 023 référentiels

Utiliser l’application Kernel Live Patching

Vous pouvez activer et utiliser Kernel Live Patching sur des instances individuelles à l'aide de la ligne de commande de l'instance elle-même. Vous pouvez également activer et utiliser Kernel Live Patching sur un groupe d'instances gérées à l'aide d' AWS Systems Manager.

Les sections suivantes expliquent comment activer et utiliser Kernel Live Patching sur des instances individuelles à l’aide de la ligne de commande.

Pour plus d'informations sur l'activation et l'utilisation du Kernel Live Patching sur un groupe d'instances gérées, consultez la section Utiliser le Kernel Live Patching sur les instances AL2 023 dans le Guide de l'AWS Systems Manager utilisateur.

Activer Kernel Live Patching

Kernel Live Patching est désactivé par défaut le AL2 023. Pour utiliser la correction à chaud, vous devez installer le plug-in DNF pour Kernel Live Patching et activer la fonctionnalité de correction à chaud.

Pour activer Kernel Live Patching

  1. Les correctifs dynamiques du noyau sont disponibles pour AL2 2023 avec la version 6.1 du noyau. Pour vérifier la version de votre noyau, exécutez la commande suivante.

    $ sudo dnf list kernel

  2. Installez le plug-in DNF pour Kernel Live Patching.

    $ sudo dnf install -y kpatch-dnf

  3. Activez le plug-in DNF pour Kernel Live Patching.

    $ sudo dnf kernel-livepatch -y auto

    Cette commande installe également la dernière version du RPM du correctif à chaud du noyau à partir des référentiels configurés.

  4. Pour confirmer que le plug-in DNF pour la correction à chaud du noyau a été installé correctement, exécutez la commande suivante.

    Lorsque vous activez Kernel Live Patching, un RPM vide du correctif à chaud du noyau est automatiquement appliqué. Si Kernel Live Patching a été activé avec succès, cette commande renvoie une liste qui inclut le RPM vide initial du correctif à chaud du noyau.

    $ sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch
kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64

  5. Installez le package kpatch.

    $ sudo dnf install -y kpatch-runtime

  6. Mettez à jour le service kpatch s’il a été installé précédemment. 

    $ sudo dnf upgrade kpatch-runtime

  7. Démarrez le service kpatch. Ce service charge tous les correctifs à chaud du noyau lors de l’initialisation ou au démarrage. 

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

Afficher les correctifs à chaud du noyau disponibles

Les alertes de sécurité Amazon Linux sont publiées dans le Centre de sécurité Amazon Linux. Pour plus d'informations sur les alertes de sécurité AL2 023, y compris les alertes relatives aux correctifs actifs du noyau, consultez le centre de sécurité Amazon Linux. Les correctifs Kernel Live sont préfixés avec ALASLIVEPATCH. Le Centre de sécurité Amazon Linux peut ne pas répertorier les correctifs à chaud du noyau qui corrigent les bogues.

Vous pouvez également découvrir les correctifs dynamiques du noyau disponibles pour les alertes et à CVEs l'aide de la ligne de commande.

Pour répertorier tous les correctifs à chaud du noyau disponibles pour les avis

Utilisez la commande suivante.

$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Pour répertorier tous les correctifs dynamiques du noyau disponibles pour CVEs

Utilisez la commande suivante de l’.

$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Appliquer des correctifs à chaud du noyau

Vous appliquez les correctifs à chaud du noyau en utilisant le gestionnaire de packages DNF de la même manière que vous appliquez les mises à jour régulières. Le plugin DNF pour Kernel Live Patching gère les correctifs dynamiques du noyau qui peuvent être appliqués.

Astuce

Nous vous recommandons de mettre régulièrement à jour votre noyau à l'aide de Kernel Live Patching afin de vous assurer qu'il reçoit des correctifs de sécurité spécifiques importants et critiques jusqu'à ce que le système puisse être redémarré. Vérifiez également si des correctifs supplémentaires ont été mis à disposition du package du noyau natif qui ne peuvent pas être déployés sous forme de correctifs actifs, puis mettez à jour et redémarrez la mise à jour du noyau dans ces cas.

Vous pouvez choisir d’appliquer un correctif à chaud du noyau spécifique ou d’appliquer tous les correctifs à chaud du noyau disponibles avec vos mises à jour de sécurité régulières.

Pour appliquer un correctif à chaud du noyau spécifique

  1. Obtenez la version du correctif à chaud du noyau à l’aide de l’une des commandes décrites à la section Afficher les correctifs à chaud du noyau disponibles.

  2. Appliquez le correctif dynamique du noyau pour votre noyau AL2 023.

    $ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64

    Par exemple, la commande suivante applique un correctif dynamique du noyau pour la version AL2 0.23 du noyau 6.1.12-17.42

    $ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
Pour appliquer les correctifs à chaud du noyau disponibles avec vos mises à jour de sécurité régulières

Utilisez la commande suivante.

$ sudo dnf upgrade --security

Omettre l’option --securityd’inclure les corrections de bogues.

Important

  • La version du noyau n'est pas mise à jour après l'application des correctifs à chaud du noyau. La version est mise à jour vers la nouvelle version seulement après le redémarrage de l’instance.

  • Un noyau AL2 023 reçoit des correctifs actifs pendant 3 mois. Une fois cette période écoulée, aucun nouveau correctif à chaud du noyau n'est publié pour cette version du noyau.

  • Pour continuer à recevoir les correctifs à chaud du noyau après 3 mois, vous devez redémarrer l'instance pour passer à la nouvelle version du noyau. L'instance continue de recevoir les correctifs à chaud du noyau pendant les 3 mois qui suivent sa mise à jour.

  • Pour vérifier la fenêtre de support de votre version du noyau, exécutez la commande suivante :

    $ sudo dnf kernel-livepatch support

Afficher les correctifs à chaud du noyau appliqués

Pour afficher les correctifs à chaud du noyau appliqués

Utilisez la commande suivante.

$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

La commande renvoie une liste des correctifs à chaud du noyau des mise à jour de sécurité chargés et installés. Voici un exemple de sortie.

Note

Un seul correctif à chaud du noyau peut inclure et installer plusieurs correctifs à chaud.

Désactiver Kernel Live Patching

Si vous n’avez plus besoin d’utiliser Kernel Live Patching, vous pouvez le désactiver à tout moment.

  • Désactiver l'utilisation de livepatches:

    1. Désactivez le plug-in : 

      $ sudo dnf kernel-livepatch manual

    2. Désactivez le kpatch service : 

      $ sudo systemctl disable --now kpatch.service

  • Retirez complètement le livepatch outils :

    1. Supprimez le plug-in :

      $ sudo dnf remove kpatch-dnf

    2. Remove (suppression) kpatch-runtime:

      $ sudo dnf remove kpatch-runtime

    3. Supprimez tout ce qui est installé livepatches:

      $ sudo dnf remove kernel-livepatch\*