Il kernel Amazon Linux - Amazon Linux 2023
Ciclo di vita del kernelAggiornamenti del kernelLe versioni del kernel si sovrappongono tra le distribuzioniGestione CVECosa dovresti fare

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Il kernel Amazon Linux

Amazon Linux 2023 (AL2023) rilascia un nuovo kernel Long-Term Support (LTS) nel primo trimestre di ogni anno, basato sul kernel LTS annuale della comunità Linux upstream. Ogni nuovo kernel LTS offre le ultime correzioni di sicurezza, miglioramenti delle prestazioni, supporto hardware e funzionalità del kernel Linux upstream.

Ciclo di vita del kernel

Ogni kernel AL2023 LTS è supportato per quattro anni in due fasi:

  1. Supporto completo (anni 1—2): il kernel riceve correzioni per tutte le severità CVE tramite ribasi regolari sul kernel LTS upstream. Questa fase si allinea alla finestra di supporto LTS della comunità Linux upstream. Se upstream estende la finestra di supporto LTS, Amazon Linux seguirà l'esempio.

  2. Supporto di manutenzione (anni 3-4): dopo la fine del periodo di supporto LTS upstream, il team di Amazon Linux continua a eseguire il backport principalmente delle correzioni critiche e importanti CVEs (punteggio CVSS 7.0 e superiore), nonché delle vulnerabilità sfruttate note. In questa fase non viene effettuato il backport di gravità bassa e media. CVEs

Dopo quattro anni, il kernel raggiunge la fine del ciclo di vita e non riceve più aggiornamenti di sicurezza. I kernel più vecchi rimangono disponibili tramite i repository ed è possibile continuare a utilizzarli. Non dovreste aspettarvi ulteriori patch o correzioni. Si consiglia di effettuare l'aggiornamento a un kernel supportato prima di questa data. I kernel specifici non AMIs verranno più aggiornati dopo la data di fine del supporto di un kernel.

Il seguente grafico mostra la tempistica di supporto per gli attuali kernel Amazon Linux LTS:

Aggiornamenti del kernel

A partire da giugno 2026, AL2023 aggiornerà il kernel predefinito ogni anno. Il al2023-ami-kernel-defaultset di AMIs verrà aggiornato all'ultimo kernel LTS, in modo che le istanze appena lanciate forniscano la nuova versione del kernel.

Le istanze in esecuzione non vengono aggiornate automaticamente a un nuovo kernel. Per aggiornare il kernel su un'istanza esistente, è necessario installare esplicitamente il nuovo pacchetto kernel e riavviare. Per informazioni dettagliate, vedi Aggiornamento del kernel Linux su AL2023.

Consigliamo vivamente di adottare tempestivamente nuovi kernel per beneficiare dei più recenti miglioramenti in termini di sicurezza e prestazioni. I kernel più vecchi ricevono meno correzioni di sicurezza e sono più lente nel tempo. Incorpora gli aggiornamenti del kernel nelle pipeline di test e distribuzione esistenti per convalidare la compatibilità prima del lancio in produzione.

Le versioni del kernel si sovrappongono tra le distribuzioni

Per semplificare le migrazioni tra le distribuzioni Amazon Linux, sarà disponibile almeno una versione del kernel sia sulla distribuzione Amazon Linux attuale che su quella successiva. Ciò ti consente di eseguire prima l'aggiornamento a un nuovo kernel della distribuzione esistente, convalidare i carichi di lavoro e quindi migrare alla nuova distribuzione con la certezza che la stessa versione del kernel sia disponibile lì.

Gestione CVE

AL2023 indirizza il kernel CVEs come segue:

  • Le vulnerabilità sfruttate critiche e importanti CVEs (CVSS 7.0 e versioni successive) e note vengono trasferite su tutti i kernel supportati.

  • Le basse e le medie CVEs (CVSS inferiore a 7.0) vengono risolte tramite regolari ribasi LTS upstream durante la fase di supporto completo. Durante la fase di supporto alla manutenzione, questi non vengono sottoposti a backport. CVEs Se un CVE basso o medio non viene risolto da un rebase LTS upstream entro 60 giorni, verrà contrassegnato come «Nessuna correzione pianificata» in Amazon Linux Security Center.

L'esecuzione del kernel più recente disponibile è il modo migliore per ottenere aggiornamenti recenti di sicurezza, prestazioni e funzionalità.

Cosa dovresti fare

  1. Implementa l'integrazione continua (CI) per le tue applicazioni: prima di apportare modifiche alla configurazione di produzione, assicurati che sia correttamente convalidata in una fase di test. Includi gli aggiornamenti del kernel nella convalida.

  2. Resta aggiornato al kernel più recente: adotta ogni nuovo kernel LTS annuale non appena è disponibile. I kernel più recenti ricevono le correzioni di sicurezza più velocemente. Consuma la al2023-ami-kernel-defaultserie di AMIs per accedere automaticamente alla versione del kernel consigliata dal team di Amazon Linux.

  3. Automatizza gli aggiornamenti: utilizza strumenti come AWS Systems Manager per gestire gli aggiornamenti del kernel in tutta la tua flotta.

  4. Pianifica i riavvii: ogni aggiornamento del kernel richiede un riavvio. Inserisci le finestre di riavvio nelle tue pianificazioni di manutenzione.