O kernel Linux da Amazon - Amazon Linux 2023
Ciclo de vida do kernelAtualizações do kernelSobreposição de versões do kernel entre distribuiçõesManipulação de CVEO que você deve fazer

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O kernel Linux da Amazon

O Amazon Linux 2023 (AL2023) lança um novo kernel Long-Term Support (LTS) no primeiro trimestre de cada ano, com base no kernel LTS anual da comunidade Linux upstream. Cada novo kernel LTS traz as mais recentes correções de segurança, melhorias de desempenho, suporte de hardware e recursos do kernel Linux upstream.

Ciclo de vida do kernel

Cada kernel AL2023 LTS é suportado por quatro anos em duas fases:

  1. Suporte total (anos 1 a 2) — O kernel recebe correções para todas as severidades do CVE por meio de rebases regulares no kernel LTS upstream. Essa fase se alinha com a janela de suporte LTS da comunidade Linux upstream. Se o upstream estender a janela de suporte do LTS, o Amazon Linux seguirá o exemplo.

  2. Suporte de manutenção (anos 3 a 4) — Após o término do período de suporte LTS upstream, a equipe do Amazon Linux continua fazendo o backport principalmente de correções para vulnerabilidades críticas e importantes CVEs (pontuação CVSS 7.0 ou superior), bem como para vulnerabilidades exploradas conhecidas. A severidade baixa e média CVEs não é revertida durante essa fase.

Depois de quatro anos, o kernel chega ao fim da vida útil e não recebe mais atualizações de segurança. Os kernels mais antigos permanecem disponíveis por meio de repositórios e você pode continuar usando-os. Você não deve esperar mais patches ou correções. Recomendamos a atualização para um kernel compatível antes dessa data. O kernel específico não AMIs será mais atualizado após a data de fim do suporte de um kernel.

O gráfico a seguir mostra o cronograma de suporte para os kernels LTS atuais do Amazon Linux:

Atualizações do kernel

A partir de junho de 2026, AL2023 atualizará o kernel padrão anualmente. O al2023-ami-kernel-defaultconjunto de AMIs será atualizado para o kernel LTS mais recente, para que as instâncias recém-lançadas criem a nova versão do kernel.

As instâncias em execução não são atualizadas automaticamente para um novo kernel. Para atualizar o kernel em uma instância existente, você deve instalar explicitamente o novo pacote do kernel e reinicializar. Para obter detalhes, consulte Atualizando o kernel Linux em AL2023.

É altamente recomendável adotar novos kernels imediatamente para se beneficiar das mais recentes melhorias de segurança e desempenho. Os kernels mais antigos recebem menos e mais lentas correções de segurança ao longo do tempo. Incorpore as atualizações do kernel em seus pipelines de teste e implantação existentes para validar a compatibilidade antes de lançá-las para produção.

Sobreposição de versões do kernel entre distribuições

Para simplificar as migrações entre as distribuições Amazon Linux, pelo menos uma versão do kernel estará disponível na distribuição atual e na próxima distribuição Amazon Linux. Isso permite que você primeiro atualize para um novo kernel em sua distribuição existente, valide suas cargas de trabalho e depois migre para a nova distribuição com a certeza de que a mesma versão do kernel está disponível lá.

Manipulação de CVE

AL2023 aborda o kernel da CVEs seguinte forma:

  • Vulnerabilidades críticas e importantes CVEs (CVSS 7.0 e superior) e conhecidas exploradas são transferidas para todos os kernels suportados.

  • Baixo e médio CVEs (CVSS abaixo de 7.0) são abordados por meio de rebases regulares de LTS upstream durante a fase de suporte completo. Durante a fase de suporte de manutenção, eles não CVEs são retroportados. Se um CVE baixo ou médio não for resolvido por um rebase LTS upstream dentro de 60 dias, ele será marcado como “Nenhuma correção planejada” no Centro de Segurança Linux da Amazon.

Executar o kernel mais recente disponível é a melhor maneira de obter atualizações recentes de segurança, desempenho e funcionalidade.

O que você deve fazer

  1. Implemente a Integração Contínua (CI) para seus aplicativos — Antes de fazer qualquer alteração na configuração de produção, verifique se ela foi validada adequadamente em um estágio de teste. Inclua atualizações do kernel em sua validação.

  2. Mantenha-se atualizado com o kernel mais recente — Adote cada novo kernel LTS anual assim que ele estiver disponível. Os kernels mais novos recebem correções de segurança mais rapidamente. Consuma a al2023-ami-kernel-defaultsérie de AMIs para estar automaticamente na versão do kernel recomendada pela equipe do Amazon Linux.

  3. Automatize as atualizações — Use ferramentas como o AWS Systems Manager para gerenciar as atualizações do kernel em toda a sua frota.

  4. Plano para reinicializações — Cada atualização do kernel requer uma reinicialização. Inclua janelas de reinicialização em seus cronogramas de manutenção.