AL2023 のカーネルライブパッチ - Amazon Linux 2023
制限事項サポートされている構成と前提条件カーネルライブパッチを使用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AL2023 のカーネルライブパッチ

Kernel Live Patching for AL2023 を使用すると、実行中のアプリケーションを再起動または中断することなく、実行中の Linux カーネルにセキュリティ脆弱性と重大なバグパッチを適用できます。さらに、カーネルライブパッチを有効にすると、インフラストラクチャを安全かつ最新に保つとともに、アプリケーションの可用性を向上させることができます。

AWS は、AL2023 用の 2 種類のカーネルライブパッチをリリースします。

  • セキュリティ更新プログラム — Linux の一般的な脆弱性と露出 () の更新が含まれますCVE。これらの更新プログラムは、通常、Amazon Linux Security Advisory の評価で Important または Critical と評価されます。通常、共通脆弱性評価システム (CVSS) のスコア 7 以上にマッピングされます。場合によっては、 CVEが割り当てられる前に更新を提供する AWS ことがあります。そのような場合、パッチはバグ修正プログラムとして提供される場合があります。

  • バグ修正 — に関連付けられていない重大なバグや安定性の問題の修正を含めますCVEs。

AWS は、リリース後最大 3 か月間、AL2023 カーネルバージョンのカーネルライブパッチを提供します。その後、カーネルライブパッチを引き続き入手するには、新しいカーネルバージョンに更新する必要があります。

AL2023 カーネルライブパッチは、既存の AL2023 リポジトリで署名付きRPMパッケージとして利用できます。パッチは、既存のDNFパッケージマネージャーワークフローを使用して個々のインスタンスにインストールできます。または、 AWS Systems Manager を使用してマネージドインスタンスのグループにインストールすることもできます。

AL2023 のカーネルライブパッチは追加料金なしで提供されます。

制限事項

カーネルライブパッチの適用中は、休止を実行したり、高度なデバッグツール (SystemTapkprobeseBPF ベースのツールなど) を使用したり、カーネルライブパッチを適用したインフラストラクチャで使用されている ftrace の出力ファイルにアクセスしたりすることはできません。

サポートされている構成と前提条件

カーネルライブパッチは、Amazon EC2インスタンスおよび AL2023 を実行するオンプレミス仮想マシンでサポートされています。

AL2023 でカーネルライブパッチを使用するには、以下を使用する必要があります。

  • 64 ビット x86_64 または ARM64 アーキテクチャ

  • カーネルバージョン 6.1

ポリシーの要件

AL2023 リポジトリからパッケージをダウンロードするには、Amazon がサービス所有の Amazon S3 バケットにアクセスEC2する必要があります。環境で Amazon S3 の Amazon Virtual Private Cloud (VPC) エンドポイントを使用している場合は、VPCエンドポイントポリシーでそれらのパブリックバケットへのアクセスが許可されていることを確認してください。 Amazon S3 次の表は、Amazon がカーネルライブパッチのためにアクセスする必要がある Amazon S3 バケットを示しています。 EC2

S3 バケット ARN 説明

arn:aws:s3:::al2023-repos-region-de612dc2/*

AL2023 リポジトリを含む Amazon S3 バケット

カーネルライブパッチを使用する

カーネルライブパッチを有効にして個別のインスタンスで使用するには、インスタンス自体でコマンドラインを使用できます。Systems Manager を使用して、カーネルライブパッチを有効にしてマネージドインスタンスのグループで使用するには、 AWS Systems Manager を使用できます。

以下のセクションでは、コマンドラインを使用して、カーネルライブパッチを有効にして個別のインスタンスで使用する方法について説明します。

マネージドインスタンスのグループでのカーネルライブパッチの有効化と使用の詳細については、 AWS Systems Manager ユーザーガイドAL2「023 インスタンスでのカーネルライブパッチの使用」を参照してください。

カーネルライブパッチの有効化

カーネルライブパッチは、AL2023 ではデフォルトで無効になっています。ライブパッチを使用するには、カーネルライブパッチ用のDNFプラグインをインストールし、ライブパッチ機能を有効にする必要があります。

カーネルライブパッチを有効にする方法

  1. カーネルライブパッチは、カーネルバージョン の AL2023 で使用できます6.1。カーネルバージョンを確認するには、次のコマンドを実行します。

    $ sudo dnf list kernel

  2. カーネルライブパッチ用の DNFプラグインをインストールします。

    $ sudo dnf install -y kpatch-dnf

  3. カーネルライブパッチのDNFプラグインを有効にします。

    $ sudo dnf kernel-livepatch -y auto

    このコマンドは、設定されたリポジトリRPMから最新バージョンのカーネルライブパッチもインストールします。

  4. カーネルライブパッチのDNFプラグインが正常にインストールされたことを確認するには、次のコマンドを実行します。

    カーネルライブパッチを有効にすると、空のカーネルライブパッチRPMが自動的に適用されます。カーネルライブパッチが正常に有効になると、このコマンドは最初の空のカーネルライブパッチ を含むリストを返しますRPM。

    $ sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch
kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64

  5. kpatch パッケージをインストールします。

    $ sudo dnf install -y kpatch-runtime

  6. 既にインストール済みの場合は、kpatch サービスを更新します。

    $ sudo dnf update kpatch-runtime

  7. kpatch サービスを起動します。このサービスは、初期化時または起動時にすべてのカーネルライブパッチをロードします。

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

利用可能なカーネルライブパッチを表示する

Amazon Linux のセキュリティアラートは、Amazon Linux Security Center に公開されます。カーネルライブパッチのアラートなど、AL2023 セキュリティアラートの詳細については、「Amazon Linux セキュリティセンター」を参照してください。カーネルライブパッチには、ALASLIVEPATCH というプレフィクスが付きます。Amazon Linux Security Center では、バグに対応するカーネルライブパッチは一覧に表示されていない場合があります。

コマンドラインCVEsを使用して、 アドバイザリおよび で利用可能なカーネルライブパッチを確認することもできます。

アドバイザリに対する利用可能なすべてのカーネルライブパッチを一覧表示するには

以下のコマンドを使用します。

$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
で使用可能なすべてのカーネルライブパッチを一覧表示するには CVEs

以下のコマンドを使用します。

$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

カーネルライブパッチを適用する

カーネルライブパッチは、定期的な更新を適用するのと同じ方法でDNFパッケージマネージャーを使用して適用します。カーネルライブパッチのDNFプラグインは、適用するカーネルライブパッチを管理し、再起動の必要がありません。

ヒント

カーネルが安全かつ最新に保たれるよう、カーネルライブパッチを使用して定期的にカーネルを更新することをお勧めします。

特定のカーネルライブパッチを適用するか、利用可能なカーネルライブパッチを定期的なセキュリティ更新プログラムと一緒に適用するかを選択できます。

特定のカーネルライブパッチを適用するには

  1. 利用可能なカーネルライブパッチを表示する」で説明されているコマンドのいずれかを使用して、カーネルライブパッチのバージョンを取得します。

  2. AL2023 カーネルにカーネルライブパッチを適用します。

    $ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64

    例えば、次のコマンドは AL2023 カーネルバージョンのカーネルライブパッチを適用します。 6.1.12-17.42

    $ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
利用可能なカーネルライブパッチを定期的なセキュリティ更新プログラムと一緒に適用する方法

次のコマンドを使用します。

$ sudo dnf update --security

バグ修正プログラムを含めるには、--security オプションを省略します。

重要

  • カーネルライブパッチを適用しても、カーネルバージョンは更新されません。バージョンは、インスタンスを再起動した後でのみ新しいバージョンに更新されます。

  • AL2023 カーネルは 3 か月間カーネルライブパッチを受け取ります。その後は、そのカーネルバージョンの新しいカーネルライブパッチはリリースされなくなります。

  • 3 か月が過ぎた後にカーネルライブパッチを引き続き入手するには、インスタンスを再起動して新しいカーネルバージョンに移行する必要があります。インスタンスは、更新後 3 か月間は引き続きカーネルライブパッチを受け取ります。

  • お使いのカーネルバージョンのサポート期間を確認するには、以下のコマンドを実行します。

    $ sudo dnf kernel-livepatch support

適用されたカーネルライブパッチの表示

適用されたカーネルライブパッチを表示するには

次のコマンドを使用します。

$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

このコマンドは、ロードおよびインストールされたセキュリティ更新プログラムのカーネルライブパッチのリストを返します。出力例を次に示します。

注記

1 つのカーネルライブパッチには、複数のライブパッチが含まれていてインストールされる場合があります。

カーネルライブパッチの無効化

カーネルライブパッチを使用する必要がなくなった場合は、いつでも無効にできます。

  • livepatches の使用の無効化:

    1. プラグインの無効化: 

      $ sudo dnf kernel-livepatch manual

    2. kpatch サービスの無効化: 

      $ sudo systemctl disable --now kpatch.service

  • livepatch ツールの完全削除:

    1. プラグインの削除:

      $ sudo dnf remove kpatch-dnf

    2. kpatch-runtime の削除:

      $ sudo dnf remove kpatch-runtime

    3. インストールされているすべての livepatches の削除:

      $ sudo dnf remove kernel-livepatch\*