Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Kernel Live Patching su 023 AL2
È possibile utilizzare Kernel Live Patching for AL2 023 per applicare vulnerabilità di sicurezza e patch di bug critici a un kernel Linux in esecuzione senza riavviare o interrompere le applicazioni in esecuzione. Inoltre, Kernel Live Patching può aiutarti a migliorare la disponibilità delle applicazioni mantenendo al contempo l'infrastruttura aggiornata e protetta.
AWS rilascia due tipi di patch live del kernel per 023: AL2
-
Aggiornamenti di sicurezza: includono aggiornamenti per le vulnerabilità e le esposizioni comuni di Linux (). CVE Questi aggiornamenti sono in genere classificati come importanti o critici utilizzando le classificazioni di Amazon Linux Security Advisory. Generalmente corrispondono a un punteggio del Common Vulnerability Scoring System (CVSS) pari o superiore a 7. In alcuni casi, AWS potrebbe fornire aggiornamenti prima dell'assegnazione di aCVE. In questi casi, le patch potrebbero apparire come correzioni di bug.
-
Correzioni di bug: includono correzioni di bug critici e problemi di stabilità non associati a. CVEs
AWS fornisce patch live del kernel per una versione del kernel AL2 023 per un massimo di 3 mesi dopo il suo rilascio. Dopo tale periodo, è necessario eseguire l'aggiornamento a una versione del kernel successiva per continuare a ricevere patch live del kernel.
AL2Le patch live del kernel 023 sono rese disponibili come pacchetti RPM firmati nei repository 023 esistenti. AL2 Le patch possono essere installate su singole istanze utilizzando i flussi di lavoro esistenti del gestore di pacchetti. DNF In alternativa, possono essere installati su un gruppo di istanze gestite utilizzando AWS Systems Manager.
Kernel Live Patching su AL2 023 viene fornito senza costi aggiuntivi.
Limitazioni
Durante l'applicazione di una patch live del kernel, non è possibile eseguire l'ibernazione, utilizzare strumenti di debug avanzati (come SystemTap, kprobes e strumenti basati su eBPF) né accedere ai file di output ftrace utilizzati dall'infrastruttura Kernel Live Patching.
Configurazioni e prerequisiti supportati
Kernel Live Patching è supportato su EC2 istanze Amazon e macchine virtuali locali che eseguono 023. AL2
Per utilizzare Kernel Live Patching su AL2 023, è necessario utilizzare quanto segue:
-
Un'architettura
x86_64oARM64a 64 bit -
Kernel versione
6.1
Requisiti per le policy
Per scaricare pacchetti da AL2 023 repository, Amazon EC2 deve accedere ai bucket Amazon S3 di proprietà del servizio. Se utilizzi un endpoint Amazon Virtual Private Cloud (VPC) per Amazon S3 nel tuo ambiente, assicurati che VPC la policy degli endpoint consenta l'accesso a tali bucket pubblici. La tabella seguente descrive il bucket Amazon S3 a cui Amazon EC2 potrebbe aver bisogno di accedere per Kernel Live Patching.
| Bucket S3 ARN | Descrizione |
|---|---|
|
arn: aws:s3: ::al2023-repos- |
Bucket Amazon S3 contenente 023 repository AL2 |
Utilizzo di Kernel Live Patching
È possibile abilitare e utilizzare Kernel Live Patching su singole istanze utilizzando la riga di comando sull'istanza stessa. In alternativa, è possibile abilitare e utilizzare Kernel Live Patching su un gruppo di istanze gestite utilizzando AWS Systems Manager.
Le sezioni seguenti spiegano come abilitare e utilizzare Kernel Live Patching su singole istanze utilizzando la riga di comando.
Per ulteriori informazioni sull'abilitazione e l'utilizzo di Kernel Live Patching su un gruppo di istanze gestite, consulta Usare Kernel Live Patching su 023 istanze nella Guida per l'utente. AL2 AWS Systems Manager
Argomenti
Abilitazione di Kernel Live Patching
Kernel Live Patching è disabilitato per impostazione predefinita su 023. AL2 Per utilizzare live patching, è necessario installare il DNFplug-in per Kernel Live Patching e abilitare la funzionalità di live patching.
Per abilitare Kernel Live Patching
-
Le patch live del kernel sono disponibili per la versione 023 con versione kernel. AL2
6.1Per controllare la versione del kernel, eseguire il seguente comando.$sudo dnf list kernel -
Installa il DNFplugin per Kernel Live Patching.
$sudo dnf install -y kpatch-dnf -
Abilita il DNFplugin per Kernel Live Patching.
$sudo dnf kernel-livepatch -y autoQuesto comando installa anche l'ultima versione del kernel live patch RPM dai repository configurati.
-
Per confermare che il DNFplugin per il kernel live patching sia stato installato correttamente, esegui il comando seguente.
Quando abiliti Kernel Live Patching, viene applicata automaticamente una patch live del kernel vuota. RPM Se Kernel Live Patching è stato abilitato correttamente, questo comando restituisce un elenco che include la patch live iniziale vuota del kernel. RPM
$sudo rpm -qa | grep kernel-livepatchdnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64 -
Installare il pacchetto kpatch.
$sudo dnf install -y kpatch-runtime -
Aggiornare il servizio kpatch se è stato precedentemente installato.
$sudo dnf upgrade kpatch-runtime -
Avviare il servizio kpatch. Questo servizio carica tutte le patch live del kernel dopo l'inizializzazione o l'avvio.
$sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service
Visualizzazione delle patch live del kernel disponibili
Gli avvisi di sicurezza di Amazon Linux vengono pubblicati nel Centro di Sicurezza Amazon Linux. Per ulteriori informazioni sugli avvisi di sicurezza AL2 023, inclusi gli avvisi per le patch live del kernel, consulta Amazon Linux Security Center.ALASLIVEPATCH. Centro di Sicurezza Amazon Linux potrebbe non elencare le patch live del kernel che risolvono i bug.
Puoi anche scoprire le patch live del kernel disponibili per ricevere avvisi e utilizzare la riga di comando. CVEs
Per elencare tutte le patch live del kernel disponibili per le consulenze
Utilizza il seguente comando.
$sudo dnf updateinfo listLast metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC. ALAS2LIVEPATCH-2021-123 important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64 ALAS2LIVEPATCH-2022-124 important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Per elencare tutte le patch live del kernel disponibili per CVEs
Utilizza il seguente comando.
$sudo dnf updateinfo list cvesLast metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC. CVE-2022-0123 important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64 CVE-2022-3210 important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Applicazione delle patch live del kernel
Le patch live del kernel vengono applicate utilizzando il gestore di DNFpacchetti nello stesso modo in cui si applicano gli aggiornamenti regolari. Il DNFplugin per Kernel Live Patching gestisce le patch live del kernel applicate ed elimina la necessità di riavviare il sistema.
Suggerimento
Si consiglia di aggiornare regolarmente il kernel utilizzando Kernel Live Patching per assicurarsi che rimanga sicuro e aggiornato.
Puoi scegliere di applicare una patch live del kernel specifica o applicare qualsiasi patch live del kernel disponibile insieme ai normali aggiornamenti di sicurezza.
Per applicare una patch live del kernel specifica
-
Ottenere la versione della patch live del kernel utilizzando uno dei comandi descritti in Visualizzazione delle patch live del kernel disponibili.
-
Applica la kernel live patch per il tuo kernel 023. AL2
$sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64Ad esempio, il comando seguente applica una patch live del kernel per la versione 023 del kernel AL2
6.1.12-17.42$sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
Per applicare eventuali patch live del kernel disponibili insieme ai normali aggiornamenti di sicurezza
Utilizzare il seguente comando.
$sudo dnf upgrade --security
Omettere l'opzione --security per includere correzioni di bug.
Importante
-
La versione del kernel non viene aggiornata dopo l'applicazione delle patch live del kernel. La versione viene aggiornata alla nuova versione solo dopo il riavvio dell'istanza.
-
Un kernel AL2 023 riceve le patch kernel live per 3 mesi. Dopo questo periodo, non vengono rilasciate nuove patch live del kernel per tale versione del kernel.
-
Per continuare a ricevere patch live del kernel dopo 3 mesi, è necessario riavviare l'istanza per passare alla nuova versione del kernel. L'istanza continua a ricevere le patch live del kernel per i successivi 3 mesi dopo l'aggiornamento.
-
Per controllare la finestra di supporto per la versione del kernel, esegui il seguente comando:
$sudo dnf kernel-livepatch support
Visualizzazione delle patch live del kernel applicate
Per visualizzare le patch live del kernel applicate
Utilizzare il seguente comando.
$sudo kpatch listLoaded patch modules: livepatch_CVE_2022_36946 [enabled] Installed patch modules: livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64) livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)
Il comando restituisce un elenco delle patch live del kernel dell'aggiornamento di sicurezza caricato e installato. Di seguito è riportato un output di esempio.
Nota
Una singola patch live del kernel può includere e installare più patch live.
Disabilitazione di Kernel Live Patching
Se non è più necessario utilizzare Kernel Live Patching, puoi disabilitarla in qualsiasi momento.
-
Disabilita l'uso di livepatches:
-
Disabilita il plugin:
$sudo dnf kernel-livepatch manual -
Disabilita il servizio kpatch:
$sudo systemctl disable --now kpatch.service
-
-
Rimuovi completamente gli strumenti livepatch:
-
Rimuovi il plugin:
$sudo dnf remove kpatch-dnf -
Rimuovi kpatch-runtime:
$sudo dnf remove kpatch-runtime -
Rimuovi tutte le livepatches installate:
$sudo dnf remove kernel-livepatch\*
-
