Kernel Live Patching en 2023 AL2 - Amazon Linux 2023
LimitesConfigurations et conditions préalables prises en chargeUtiliser l’application Kernel Live Patching

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Kernel Live Patching en 2023 AL2

Vous pouvez utiliser Kernel Live Patching for AL2 023 pour appliquer des correctifs de failles de sécurité et de bogues critiques à un noyau Linux en cours d'exécution sans redémarrer ni perturber le fonctionnement des applications. Kernel Live Patching peut également améliorer la disponibilité de votre application tout en gardant votre infrastructure sécurisée et à jour.

AWS publie deux types de correctifs dynamiques du noyau pour AL2 023 :

  • Mises à jour de sécurité — Incluez des mises à jour pour les vulnérabilités et expositions courantes de Linux (CVE). Ces mises à jour sont généralement jugées importantes ou critiques à l’aide des évaluations Amazon Linux de sécurité. Ils correspondent généralement à un score de 7 ou plus du Common Vulnerability Scoring System (CVSS). Dans certains cas, AWS peut fournir des mises à jour avant que un ne CVE soit attribué. Dans ces cas, les correctifs peuvent apparaître comme des correctifs de bogues.

  • Corrections de bogues — Incluez des correctifs pour les bogues critiques et les problèmes de stabilité qui ne sont pas associés àCVEs.

AWS fournit des correctifs dynamiques du noyau pour une version AL2 023 du noyau jusqu'à 3 mois après sa publication. Après cette période, vous devez effectuer une mise à jour vers une version ultérieure du noyau pour continuer à recevoir les correctifs à chaud du noyau.

AL2Les correctifs dynamiques du noyau 023 sont disponibles sous forme de RPM packages signés dans les référentiels AL2 023 existants. Les correctifs peuvent être installés sur des instances individuelles à l'aide des flux de travail DNFdu gestionnaire de packages existants. Ils peuvent également être installés sur un groupe d'instances gérées à l'aide de AWS Systems Manager.

Kernel Live Patching le AL2 023 est fourni sans frais supplémentaires.

Limites

Lors de l'application d'un correctif à chaud du noyau, vous ne pouvez pas effectuer de mise en veille prolongée, utiliser des outils de débogage avancés (tels que des outils basés sur SystemTap, kprobes et eBPF) ou accéder aux fichiers de sortie ftrace utilisés par l'infrastructure Kernel Live Patching.

Configurations et conditions préalables prises en charge

Kernel Live Patching est pris en charge sur les EC2 instances Amazon et les machines virtuelles sur site qui exécutent AL2 023.

Pour utiliser Kernel Live Patching sur AL2 023, vous devez utiliser ce qui suit :

  • Une architecture x86_64 ou ARM64 64 bits

  • Noyau version 6.1

Exigences des stratégies

Pour télécharger des packages depuis des référentiels AL2 023, Amazon EC2 doit avoir accès aux compartiments Amazon S3 détenus par le service. Si vous utilisez un point de terminaison Amazon Virtual Private Cloud (VPC) pour Amazon S3 dans votre environnement, assurez-vous que votre politique de point de VPC terminaison autorise l'accès à ces compartiments publics. Le tableau suivant décrit le compartiment Amazon S3 auquel Amazon EC2 peut avoir besoin pour accéder à Kernel Live Patching.

seau S3 ARN Description

arn:aws:s3 : ::al2023-repos-region-de612dc2/*

Compartiment Amazon S3 contenant AL2 023 référentiels

Utiliser l’application Kernel Live Patching

Vous pouvez activer et utiliser Kernel Live Patching sur des instances individuelles à l'aide de la ligne de commande de l'instance elle-même. Vous pouvez également activer et utiliser Kernel Live Patching sur un groupe d'instances gérées à l'aide d' AWS Systems Manager.

Les sections suivantes expliquent comment activer et utiliser Kernel Live Patching sur des instances individuelles à l’aide de la ligne de commande.

Pour plus d'informations sur l'activation et l'utilisation du Kernel Live Patching sur un groupe d'instances gérées, consultez la section Utiliser le Kernel Live Patching sur les instances AL2 023 dans le Guide de l'AWS Systems Manager utilisateur.

Activer Kernel Live Patching

Kernel Live Patching est désactivé par défaut le AL2 023. Pour utiliser les correctifs en direct, vous devez installer le DNFplug-in pour Kernel Live Patching et activer la fonctionnalité de mise à jour en direct.

Pour activer Kernel Live Patching

  1. Les correctifs dynamiques du noyau sont disponibles pour AL2 2023 avec la version 6.1 du noyau. Pour vérifier la version de votre noyau, exécutez la commande suivante.

    $ sudo dnf list kernel

  2. Installez le DNFplugin pour Kernel Live Patching.

    $ sudo dnf install -y kpatch-dnf

  3. Activez le DNFplugin pour Kernel Live Patching.

    $ sudo dnf kernel-livepatch -y auto

    Cette commande installe également la dernière version du correctif dynamique du noyau RPM à partir des référentiels configurés.

  4. Pour vérifier que le DNFplug-in pour l'application des correctifs dynamiques du noyau a été correctement installé, exécutez la commande suivante.

    Lorsque vous activez le Kernel Live Patching, un correctif dynamique de noyau vide RPM est automatiquement appliqué. Si le Kernel Live Patching a été activé avec succès, cette commande renvoie une liste qui inclut le correctif RPM dynamique du noyau vide initial.

    $ sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch
kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64

  5. Installez le package kpatch.

    $ sudo dnf install -y kpatch-runtime

  6. Mettez à jour le service kpatch s’il a été installé précédemment. 

    $ sudo dnf update kpatch-runtime

  7. Démarrez le service kpatch. Ce service charge tous les correctifs à chaud du noyau lors de l’initialisation ou au démarrage. 

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

Afficher les correctifs à chaud du noyau disponibles

Les alertes de sécurité Amazon Linux sont publiées dans le Centre de sécurité Amazon Linux. Pour plus d'informations sur les alertes de sécurité AL2 023, y compris les alertes relatives aux correctifs actifs du noyau, consultez le centre de sécurité Amazon Linux. Les correctifs Kernel Live sont préfixés avec ALASLIVEPATCH. Le Centre de sécurité Amazon Linux peut ne pas répertorier les correctifs à chaud du noyau qui corrigent les bogues.

Vous pouvez également découvrir les correctifs dynamiques du noyau disponibles pour les alertes et à CVEs l'aide de la ligne de commande.

Pour répertorier tous les correctifs à chaud du noyau disponibles pour les avis

Utilisez la commande suivante.

$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Pour répertorier tous les correctifs dynamiques du noyau disponibles pour CVEs

Utilisez la commande suivante de l’.

$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Appliquer des correctifs à chaud du noyau

Vous appliquez les correctifs dynamiques du noyau à l'aide DNFdu gestionnaire de packages de la même manière que vous appliquez les mises à jour régulières. Le DNFplugin pour Kernel Live Patching gère les correctifs dynamiques du noyau que vous appliquez et élimine le besoin de redémarrer.

Astuce

Nous vous recommandons de mettre à jour le noyau régulièrement à l'aide de Kernel Live Patching pour vous assurer qu'il reste sécurisé et à jour.

Vous pouvez choisir d’appliquer un correctif à chaud du noyau spécifique ou d’appliquer tous les correctifs à chaud du noyau disponibles avec vos mises à jour de sécurité régulières.

Pour appliquer un correctif à chaud du noyau spécifique

  1. Obtenez la version du correctif à chaud du noyau à l’aide de l’une des commandes décrites à la section Afficher les correctifs à chaud du noyau disponibles.

  2. Appliquez le correctif dynamique du noyau pour votre noyau AL2 023.

    $ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64

    Par exemple, la commande suivante applique un correctif dynamique du noyau pour la version AL2 0.23 du noyau 6.1.12-17.42

    $ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
Pour appliquer les correctifs à chaud du noyau disponibles avec vos mises à jour de sécurité régulières

Utilisez la commande suivante.

$ sudo dnf update --security

Omettre l’option --securityd’inclure les corrections de bogues.

Important

  • La version du noyau n'est pas mise à jour après l'application des correctifs à chaud du noyau. La version est mise à jour vers la nouvelle version seulement après le redémarrage de l’instance.

  • Un noyau AL2 023 reçoit des correctifs actifs pendant 3 mois. Une fois cette période écoulée, aucun nouveau correctif à chaud du noyau n'est publié pour cette version du noyau.

  • Pour continuer à recevoir les correctifs à chaud du noyau après 3 mois, vous devez redémarrer l'instance pour passer à la nouvelle version du noyau. L'instance continue de recevoir les correctifs à chaud du noyau pendant les 3 mois qui suivent sa mise à jour.

  • Pour vérifier la fenêtre de support de votre version du noyau, exécutez la commande suivante :

    $ sudo dnf kernel-livepatch support

Afficher les correctifs à chaud du noyau appliqués

Pour afficher les correctifs à chaud du noyau appliqués

Utilisez la commande suivante.

$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

La commande renvoie une liste des correctifs à chaud du noyau des mise à jour de sécurité chargés et installés. Voici un exemple de sortie.

Note

Un seul correctif à chaud du noyau peut inclure et installer plusieurs correctifs à chaud.

Désactiver Kernel Live Patching

Si vous n’avez plus besoin d’utiliser Kernel Live Patching, vous pouvez le désactiver à tout moment.

  • Désactivez l'utilisation de livepatches :

    1. Désactivez le plug-in : 

      $ sudo dnf kernel-livepatch manual

    2. Désactivez le service kpatch : 

      $ sudo systemctl disable --now kpatch.service

  • Retirez complètement les outils livepatch :

    1. Supprimez le plug-in :

      $ sudo dnf remove kpatch-dnf

    2. Supprimez kpatch-runtime :

      $ sudo dnf remove kpatch-runtime

    3. Supprimez tout livepatches installé :

      $ sudo dnf remove kernel-livepatch\*