Menggunakan node Kernel Live Patching terkelola Amazon Linux 2 - AWS Systems Manager
Tentang Kernel Live Patching dan Patch ManagerCara kerjanyaMenghidupkan Kernel Live Patching menggunakan Run CommandMenerapkan kernel live patch menggunakan Run CommandMematikan Kernel Live Patching menggunakan Run Command

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan node Kernel Live Patching terkelola Amazon Linux 2

Kernel Live Patchinguntuk Amazon Linux 2 memungkinkan Anda menerapkan kerentanan keamanan dan patch bug kritis ke kernel Linux yang sedang berjalan tanpa reboot atau gangguan pada aplikasi yang sedang berjalan. Ini memungkinkan Anda mendapatkan keuntungan dari peningkatan ketersediaan layanan dan aplikasi, sambil menjaga infrastruktur Anda tetap aman dan mutakhir. Kernel Live Patchingdidukung pada instans Amazon EC2, perangkat AWS IoT Greengrass inti, dan mesin virtual lokal yang menjalankan Amazon Linux 2.

Untuk informasi umum tentangKernel Live Patching, lihat Kernel Live Patchingdi Amazon Linux 2 di Panduan Pengguna Amazon EC2.

Setelah Anda mengaktifkan node terkelola Amazon Linux 2, Anda dapat menggunakanPatch Manager, kemampuan AWS Systems Manager, untuk menerapkan patch langsung kernel ke node terkelola. Kernel Live Patching Menggunakan Patch Manager adalah alternatif untuk menggunakan alur kerja yum yang ada di node untuk menerapkan pembaruan.

Sebelum Anda mulai

Patch ManagerUntuk menerapkan tambalan langsung kernel ke node terkelola Amazon Linux 2 Anda, pastikan node Anda didasarkan pada arsitektur dan versi kernel yang benar. Untuk selengkapnya, lihat Konfigurasi dan prasyarat yang didukung di Panduan Pengguna Amazon EC2.

Tentang Kernel Live Patching dan Patch Manager

Memperbarui versi kernel

Anda tidak perlu me-reboot node terkelola setelah menerapkan pembaruan patch langsung kernel. Namun, AWS menyediakan tambalan langsung kernel untuk versi kernel Amazon Linux 2 hingga tiga bulan setelah dirilis. Setelah periode tiga bulan, Anda harus memperbarui ke versi kernel berikutnya untuk terus menerima patch live kernel. Sebaiknya gunakan jendela pemeliharaan untuk menjadwalkan reboot node Anda setidaknya sekali setiap tiga bulan untuk meminta pembaruan versi kernel.

Menghapus instalasi patch live kernel

Patch langsung kernel tidak dapat dihapus menggunakan. Patch Manager Sebagai gantinya, Anda dapat mematikanKernel Live Patching, yang menghapus paket RPM untuk patch live kernel yang diterapkan. Untuk informasi selengkapnya, lihat Mematikan Kernel Live Patching menggunakan Run Command.

Kepatuhan kernel

Dalam beberapa kasus, menginstal semua perbaikan CVE dari patch live untuk versi kernel saat ini dapat membawa kernel tersebut ke dalam keadaan kepatuhan yang sama dengan versi kernel yang lebih baru. Ketika itu terjadi, versi yang lebih baru dilaporkan sebagaiInstalled, dan node terkelola dilaporkan sebagaiCompliant. Namun, tidak ada waktu instalasi yang dilaporkan untuk versi kernel yang lebih baru.

Satu patch live kernel, beberapa CVE

Jika patch live kernel menunjuk beberapa CVE, dan CVE tersebut memiliki berbagai klasifikasi dan nilai kepelikan, hanya klasifikasi dan kepelikan tertinggi di antara CVE itu yang dilaporkan untuk patch.

Sisa bagian ini menjelaskan cara menggunakan untuk menerapkan patch langsung kernel Patch Manager ke node terkelola yang memenuhi persyaratan ini.

Cara kerjanya

AWS merilis dua jenis tambalan langsung kernel untuk Amazon Linux 2: pembaruan keamanan dan perbaikan bug. Untuk menerapkan kedua jenis patch tersebut, Anda menggunakan dokumen dasar patch yang menargetkan hanya klasifikasi dan kepelikan yang tercantum dalam tabel berikut.

Klasifikasi Kepelikan
Security Critical, Important
Bugfix All

Anda dapat membuat dasar patch kustom yang menargetkan hanya patch ini, atau menggunakan dasar patch AWS-AmazonLinux2DefaultPatchBaseline yang telah ditentukan. Dengan kata lain, Anda dapat menggunakan AWS-AmazonLinux2DefaultPatchBaseline dengan node terkelola Amazon Linux 2 yang Kernel Live Patching dihidupkan, dan pembaruan langsung kernel akan diterapkan.

catatan

AWS-AmazonLinux2DefaultPatchBaselineKonfigurasi menentukan masa tunggu 7 hari setelah patch dirilis atau terakhir diperbarui sebelum diinstal secara otomatis. Jika Anda tidak ingin menunggu 7 hari agar tambalan langsung kernel disetujui secara otomatis, Anda dapat membuat dan menggunakan baseline patch khusus. Di dasar patch Anda, Anda dapat menentukan tidak ada periode tunggu persetujuan otomatis, atau menentukan waktu yang lebih pendek atau lebih lama. Untuk informasi selengkapnya, lihat Bekerja dengan dasar patch kustom.

Kami merekomendasikan strategi berikut untuk menambal node terkelola Anda dengan pembaruan langsung kernel:

  1. Kernel Live PatchingNyalakan node terkelola Amazon Linux 2 Anda.

  2. GunakanRun Command, kemampuan AWS Systems Manager, untuk menjalankan Scan operasi pada node terkelola Anda menggunakan baseline patch yang telah ditentukan AWS-AmazonLinux2DefaultPatchBaseline atau kustom yang juga menargetkan hanya Security pembaruan dengan tingkat keparahan yang diklasifikasikan sebagai Critical danImportant, dan tingkat keparahanBugfix. All

  3. Gunakan Kepatuhan, kemampuan AWS Systems Manager, untuk meninjau apakah ketidakpatuhan untuk patching dilaporkan untuk salah satu node terkelola yang dipindai. Jika demikian, lihat detail kepatuhan node untuk menentukan apakah patch langsung kernel hilang dari node terkelola.

  4. Untuk menginstal patch live kernel yang hilang, gunakan Run Command dengan baseline patch yang sama yang Anda tentukan sebelumnya, tetapi kali ini jalankan Install operasi alih-alih operasi. Scan

    Karena patch live kernel diinstal tanpa perlu reboot, Anda dapat memilih opsi reboot NoReboot untuk operasi ini.

    catatan

    Anda masih dapat me-reboot node terkelola jika diperlukan untuk jenis tambalan lain yang diinstal di dalamnya, atau jika Anda ingin memperbarui ke kernel yang lebih baru. Dalam kasus ini, pilih opsi reboot RebootIfNeeded sebagai gantinya.

  5. Kembali ke Kepatuhan untuk memverifikasi bahwa patch live kernel telah diinstal.

Menghidupkan Kernel Live Patching menggunakan Run Command

Untuk mengaktifkanKernel Live Patching, Anda dapat menjalankan yum perintah pada node terkelola atau menggunakan Run Command dan dokumen Systems Manager kustom (dokumen SSM) yang Anda buat.

Untuk informasi tentang mengaktifkan Kernel Live Patching dengan menjalankan yum perintah langsung pada node terkelola, lihat Mengaktifkan Kernel Live Patching di Panduan Pengguna Amazon EC2.

catatan

Ketika Anda mengaktifkan Kernel Live Patching, jika kernel yang sudah berjalan pada node terkelola lebih awal dari kernel-4.14.165-131.185.amzn2.x86_64 (versi minimum yang didukung), proses menginstal versi kernel terbaru yang tersedia dan me-reboot node terkelola. Jika node sudah berjalan kernel-4.14.165-131.185.amzn2.x86_64 atau lebih baru, proses tidak menginstal versi yang lebih baru dan tidak me-reboot node.

Untuk mengaktifkan Kernel Live Patching menggunakan Run Command (konsol)

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Run Command.

  3. Pilih Jalankan perintah.

  4. Di daftar Dokumen perintah, pilih dokumen SSM kustom AWS-ConfigureKernelLivePatching.

  5. Di bagian Command parameters, tentukan apakah Anda ingin node terkelola reboot sebagai bagian dari operasi ini.

  6. Untuk informasi tentang bekerja dengan kontrol lainnya di halaman ini, lihat Menjalankan perintah dari konsol.

  7. Pilih Jalankan.

Untuk menghidupkan Kernel Live Patching (AWS CLI)

  • Jalankan perintah berikut di mesin lokal Anda.

    Linux & macOS
    aws ssm send-command \
    --document-name "AWS-ConfigureKernelLivePatching" \
    --parameters "EnableOrDisable=Enable" \
    --targets "Key=instanceids,Values=instance-id"
    Windows Server
    aws ssm send-command ^
    --document-name "AWS-ConfigureKernelLivePatching" ^
    --parameters "EnableOrDisable=Enable" ^
    --targets "Key=instanceids,Values=instance-id"

    Ganti instance-id dengan ID node terkelola Amazon Linux 2 tempat Anda ingin mengaktifkan fitur tersebut, seperti i-02573CAFCFExample. Untuk mengaktifkan fitur pada beberapa node terkelola, Anda dapat menggunakan salah satu dari format berikut.

    • --targets "Key=instanceids,Values=instance-id1,instance-id2"

    • --targets "Key=tag:tag-key,Values=tag-value"

    Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah, lihat send-commanddi Referensi AWS CLI Perintah.

Menerapkan kernel live patch menggunakan Run Command

Untuk menerapkan kernel live patch, Anda dapat menjalankan yum perintah pada node terkelola atau menggunakan Run Command dan dokumen SSM. AWS-RunPatchBaseline

Untuk informasi tentang menerapkan patch langsung kernel dengan menjalankan yum perintah langsung pada node terkelola, lihat Menerapkan patch langsung kernel di Panduan Pengguna Amazon EC2.

Untuk menerapkan tambalan langsung kernel menggunakan Run Command (konsol)

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Run Command.

  3. Pilih Jalankan perintah.

  4. Di daftar Dokumen perintah, pilih dokumen SSM AWS-RunPatchBaseline.

  5. Di bagian Parameter perintah, lakukan salah satu hal berikut:

    • Jika Anda memeriksa apakah patch live kernel yang baru tersedia, untuk Operasi, pilih Scan. Untuk Opsi Reboot, jika tidak ingin node terkelola Anda reboot setelah operasi ini, pilihNoReboot. Setelah operasi selesai, Anda dapat memeriksa patch baru dan status kepatuhan dalam Kepatuhan.

    • Jika Anda sudah memeriksa kepatuhan patch dan siap untuk menerapkan patch live kernel yang tersedia, untuk Operasi, pilih Install. Untuk Opsi Reboot, jika Anda tidak ingin node terkelola Anda reboot setelah operasi ini, pilihNoReboot.

  6. Untuk informasi tentang bekerja dengan kontrol lainnya di halaman ini, lihat Menjalankan perintah dari konsol.

  7. Pilih Jalankan.

Untuk menerapkan tambalan langsung kernel menggunakan Run Command ()AWS CLI

  1. Untuk melakukan operasi Scan sebelum memeriksa hasil Anda di Kepatuhan, jalankan perintah berikut dari mesin lokal Anda.

    Linux & macOS
    aws ssm send-command \
    --document-name "AWS-RunPatchBaseline" \
    --targets "Key=InstanceIds,Values=instance-id" \
    --parameters '{"Operation":["Scan"],"RebootOption":["RebootIfNeeded"]}'
    Windows Server
    aws ssm send-command ^
    --document-name "AWS-RunPatchBaseline" ^
    --targets "Key=InstanceIds,Values=instance-id" ^
    --parameters {\"Operation\":[\"Scan\"],\"RebootOption\":[\"RebootIfNeeded\"]}

    Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah, lihat send-commanddi Referensi AWS CLI Perintah.

  2. Untuk melakukan operasi Install setelah memeriksa hasil Anda di Kepatuhan, jalankan perintah berikut dari mesin lokal Anda.

    Linux & macOS
    aws ssm send-command \
    --document-name "AWS-RunPatchBaseline" \
    --targets "Key=InstanceIds,Values=instance-id" \
    --parameters '{"Operation":["Install"],"RebootOption":["NoReboot"]}'
    Windows Server
    aws ssm send-command ^
    --document-name "AWS-RunPatchBaseline" ^
    --targets "Key=InstanceIds,Values=instance-id" ^
    --parameters {\"Operation\":[\"Install\"],\"RebootOption\":[\"NoReboot\"]}

Di kedua perintah sebelumnya, ganti instance-id dengan ID node terkelola Amazon Linux 2 tempat Anda ingin menerapkan tambalan langsung kernel, seperti i-02573CAFCFExample. Untuk mengaktifkan fitur pada beberapa node terkelola, Anda dapat menggunakan salah satu dari format berikut.

  • --targets "Key=instanceids,Values=instance-id1,instance-id2"

  • --targets "Key=tag:tag-key,Values=tag-value"

Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah ini, lihat send-commanddi Referensi AWS CLI Perintah.

Mematikan Kernel Live Patching menggunakan Run Command

Untuk menonaktifkanKernel Live Patching, Anda dapat menjalankan yum perintah pada node terkelola atau menggunakan Run Command dan dokumen AWS-ConfigureKernelLivePatching SSM kustom.

catatan

Jika Anda tidak perlu lagi menggunakan Kernel Live Patching, Anda dapat menonaktifkannya kapan saja. Dalam kebanyakan kasus, Anda tidak perlu menonaktifkan fitur.

Untuk informasi tentang menonaktifkan Kernel Live Patching dengan menjalankan yum perintah secara langsung di node terkelola, lihat Mengaktifkan Kernel Live Patching di Panduan Pengguna Amazon EC2.

catatan

Saat Anda mematikanKernel Live Patching, proses menghapus instalasi Kernel Live Patching plugin dan kemudian me-reboot node yang dikelola.

Untuk mematikan Kernel Live Patching menggunakan Run Command (konsol)

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Run Command.

  3. Pilih Jalankan perintah.

  4. Di daftar Dokumen perintah, pilih dokumen SSM AWS-ConfigureKernelLivePatching.

  5. Di bagian Parameter perintah, tentukan nilai untuk parameter yang diperlukan.

  6. Untuk informasi tentang bekerja dengan kontrol lainnya di halaman ini, lihat Menjalankan perintah dari konsol.

  7. Pilih Jalankan.

Untuk mematikan Kernel Live Patching (AWS CLI)

  • Jalankan perintah yang serupa dengan yang berikut ini.

    Linux & macOS
    aws ssm send-command \
    --document-name "AWS-ConfigureKernelLivePatching" \
    --targets "Key=instanceIds,Values=instance-id" \
    --parameters "EnableOrDisable=Disable"
    Windows Server
    aws ssm send-command ^
    --document-name "AWS-ConfigureKernelLivePatching" ^
    --targets "Key=instanceIds,Values=instance-id" ^
    --parameters "EnableOrDisable=Disable"

    Ganti instance-id dengan ID node terkelola Amazon Linux 2 tempat Anda ingin menonaktifkan fitur tersebut, seperti i-02573CAFCFExample. Untuk mematikan fitur pada beberapa node terkelola, Anda dapat menggunakan salah satu format berikut.

    • --targets "Key=instanceids,Values=instance-id1,instance-id2"

    • --targets "Key=tag:tag-key,Values=tag-value"

    Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah, lihat send-commanddi Referensi AWS CLI Perintah.