Amazon Linux カーネル - Amazon Linux 2023
カーネルライフサイクルカーネルの更新ディストリビューション間のカーネルバージョンの重複CVE の処理実行すべきこと

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Linux カーネル

Amazon Linux 2023 (AL2023) は、アップストリーム Linux コミュニティの年間 LTS カーネルに基づいて、毎年第 Q1に新しい長期サポート (LTS) カーネルをリリースします。新しい LTS カーネルごとに、アップストリーム Linux カーネルから最新のセキュリティ修正、パフォーマンスの向上、ハードウェアサポート、機能が提供されます。

カーネルライフサイクル

各 AL2023 LTS カーネルは、次の 2 つのフェーズで 4 年間サポートされています。

  1. フルサポート (1~2 年) – カーネルは、アップストリーム LTS カーネルの定期的なリベースを通じて、すべての CVE 重要度の修正を受け取ります。このフェーズは、アップストリーム Linux コミュニティの LTS サポートウィンドウと一致しています。アップストリームが LTS サポートウィンドウを拡張する場合、Amazon Linux はそれに従います。

  2. メンテナンスサポート (3~4 年) – アップストリーム LTS サポート期間が終了した後も、Amazon Linux チームは、重要で重要な CVEs (CVSS スコア 7.0 以上) および既知の悪用された脆弱性に対する修正を主にバックポートし続けます。このフェーズでは、重要度が低い CVEs はバックポートされません。

4 年後、カーネルはサポートが終了し、セキュリティ更新プログラムを受け取らなくなります。古いカーネルはリポジトリ経由で引き続き使用でき、引き続き使用できます。これ以上のパッチや修正は想定しないでください。この日付より前に、サポートされているカーネルにアップグレードすることをお勧めします。カーネル固有の AMIs は、カーネルのサポート終了日後に更新されなくなります。

次の図は、現在の Amazon Linux LTS カーネルのサポートタイムラインを示しています。

カーネルの更新

2026 年 6 月以降、AL2023 はデフォルトのカーネルを毎年更新します。AMIs のal2023-ami-kernel-defaultセットは最新の LTS カーネルに更新され、新しく起動されたインスタンスに新しいカーネルバージョンが追加されます。

実行中のインスタンスは、新しいカーネルに自動的に更新されません。既存のインスタンスでカーネルをアップグレードするには、新しいカーネルパッケージを明示的にインストールして再起動する必要があります。詳細については、「AL2023 での Linux カーネルの更新」を参照してください。

最新のセキュリティとパフォーマンスの向上の恩恵を受けるには、新しいカーネルをすぐに採用することを強くお勧めします。古いカーネルでは、時間の経過とともにセキュリティ修正が少なく、遅くなります。カーネルの更新を既存のテストパイプラインとデプロイパイプラインに組み込み、本番環境にロールアウトする前に互換性を検証します。

ディストリビューション間のカーネルバージョンの重複

Amazon Linux ディストリビューション間の移行を簡素化するために、現在および次の Amazon Linux ディストリビューションの両方で少なくとも 1 つのカーネルバージョンを使用できます。これにより、まず既存のディストリビューションで新しいカーネルにアップグレードし、ワークロードを検証してから、同じカーネルバージョンが利用可能であることを確信して新しいディストリビューションに移行できます。

CVE の処理

AL2023 はカーネル CVEsを次のように処理します。

  • 重要かつ重要な CVEs (CVSS 7.0 以降) と既知の悪用された脆弱性は、サポートされているすべてのカーネルにバックポートされます。

  • 低および中程度の CVEs (CVSS 7.0 未満) は、フルサポートフェーズ中に通常のアップストリーム LTS リベースを通じて対処されます。メンテナンスサポートフェーズでは、これらの CVEsバックポートされません。低または中程度の CVE が 60 日以内にアップストリーム LTS リベースによって解決されない場合、Amazon Linux セキュリティセンターでは「予定されていない修正」とマークされます。

利用可能な最新のカーネルを実行することは、最新のセキュリティ、パフォーマンス、機能の更新を取得する最善の方法です。

実行すべきこと

  1. アプリケーションに継続的インテグレーション (CI) を実装する – 本番稼働用セットアップに変更を加える前に、テスト段階で適切に検証されていることを確認してください。検証にカーネルの更新を含めます。

  2. 最新のカーネルを維持する – 新しい年次 LTS カーネルが使用可能になったらすぐに導入します。新しいカーネルは、セキュリティ修正をより迅速に受け取ります。Amazon Linux チームによって推奨されているカーネルバージョンに自動的に適用されるように、al2023-ami-kernel-default一連の AMIs を使用します。

  3. 更新の自動化AWS Systems Manager などのツールを使用して、フリート全体のカーネル更新を管理します。

  4. 再起動の計画 – カーネルの更新には再起動が必要です。メンテナンススケジュールに再起動ウィンドウを構築します。