Atualização do Kernel Live em 023 AL2 - Amazon Linux 2023
LimitaçõesConfigurações e pré-requisitos compatíveisTrabalhar com o Kernel Live Patching

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualização do Kernel Live em 023 AL2

Você pode usar o Kernel Live Patching for AL2 0.23 para aplicar vulnerabilidades de segurança e patches de bugs críticos a um kernel Linux em execução sem reinicializar ou interromper os aplicativos em execução. Além disso, o Kernel Live Patching pode ajudar a melhorar a disponibilidade da aplicação e, ao mesmo tempo, manter a infraestrutura segura e atualizada.

AWS lança dois tipos de patches ativos do kernel para AL2 023:

  • Atualizações de segurança — Inclua atualizações para vulnerabilidades e exposições comuns do Linux (). CVE Normalmente, essas atualizações são classificadas como importantes ou críticas de acordo com as classificações do Boletim de segurança do Amazon Linux. Eles geralmente são mapeados para uma pontuação do Common Vulnerability Scoring System (CVSS) igual ou superior a 7. Em alguns casos, AWS pode fornecer atualizações antes que um CVE seja atribuído. Nesses casos, os patches podem aparecer como correções de erros.

  • Correções de bugs — Inclua correções para bugs críticos e problemas de estabilidade que não estão associados CVEs a.

AWS fornece patches ativos do kernel para uma versão do kernel AL2 023 por até 3 meses após seu lançamento. Após esse período, é necessário fazer a atualização para uma versão posterior do kernel para continuar a receber patches ao vivo do kernel.

AL2Os patches ativos do kernel 023 são disponibilizados como RPM pacotes assinados nos repositórios AL2 023 existentes. Os patches podem ser instalados em instâncias individuais usando fluxos de trabalho existentes DNFdo gerenciador de pacotes. Ou eles podem ser instalados em um grupo de instâncias gerenciadas usando o AWS Systems Manager.

O Kernel Live Patching em AL2 023 é fornecido sem custo adicional.

Limitações

Ao aplicar um patch ao vivo no kernel, você não pode executar a hibernação, usar ferramentas avançadas de depuração (como SystemTap, kprobes e ferramentas baseadas em eBPF) ou acessar arquivos de saída ftrace usados pela infraestrutura do Kernel Live Patching.

Configurações e pré-requisitos compatíveis

O Kernel Live Patching é compatível com EC2 instâncias da Amazon e máquinas virtuais locais que executam 023. AL2

Para usar o Kernel Live Patching em AL2 023, você deve usar o seguinte:

  • Um x86_64 de 64 bits ou arquitetura ARM64

  • Versão 6.1 do Kernel

Requisitos de política

Para baixar pacotes de AL2 023 repositórios, a Amazon EC2 precisa acessar os buckets Amazon S3 de propriedade do serviço. Se você estiver usando um endpoint da Amazon Virtual Private Cloud (VPC) para o Amazon S3 em seu ambiente, certifique-se de que VPC sua política de endpoint permita o acesso a esses buckets públicos. A tabela a seguir descreve o bucket do Amazon S3 que a Amazon EC2 pode precisar acessar para o Kernel Live Patching.

Caçamba S3 ARN Descrição

arn: aws:s3: ::al2023-repos-region-de612dc2/*

Bucket Amazon S3 contendo 023 repositórios AL2

Trabalhar com o Kernel Live Patching

Você pode habilitar e usar o Kernel Live Patching em instâncias individuais usando a linha de comando na própria instância. Como alternativa, você pode habilitar e usar o Kernel Live Patching em um grupo de instâncias gerenciadas usando o AWS Systems Manager.

As seções a seguir explicam como habilitar e usar o Kernel Live Patching em instâncias individuais usando a linha de comando.

Para obter mais informações sobre como ativar e usar o Kernel Live Patching em um grupo de instâncias gerenciadas, consulte Usar o Kernel Live Patching em AL2 023 instâncias no Guia do usuário.AWS Systems Manager

Habilitar o Kernel Live Patching

O Kernel Live Patching está desativado por padrão em 023. AL2 Para usar o patch ao vivo, você deve instalar o DNFplug-in para o Kernel Live Patching e ativar a funcionalidade de patch ao vivo.

Como habilitar o Kernel Live Patching

  1. Os patches ativos do kernel estão disponíveis para AL2 0.23 com a versão do kernel. 6.1 Para verificar a versão do kernel, execute o comando a seguir.

    $ sudo dnf list kernel

  2. Instale o DNFplug-in para o Kernel Live Patching.

    $ sudo dnf install -y kpatch-dnf

  3. Ative o DNFplug-in para o Kernel Live Patching.

    $ sudo dnf kernel-livepatch -y auto

    Esse comando também instala a versão mais recente do patch ativo do kernel a RPM partir dos repositórios configurados.

  4. Para confirmar se o DNFplug-in para o kernel live patching foi instalado com sucesso, execute o comando a seguir.

    Quando você ativa o Kernel Live Patching, um patch ativo do kernel vazio RPM é aplicado automaticamente. Se o Kernel Live Patching foi habilitado com sucesso, esse comando retornará uma lista que inclui o patch ativo inicial vazio do kernel. RPM

    $ sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch
kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64

  5. Instale o pacote kpatch.

    $ sudo dnf install -y kpatch-runtime

  6. Atualize o serviço kpatch, caso tenha sido instalado anteriormente. 

    $ sudo dnf upgrade kpatch-runtime

  7. Inicie o serviço kpatch. Este serviço carrega todos os patches ao vivo do kernel durante ou após a inicialização. 

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

Visualizar os patches ao vivo do kernel disponíveis

Os alertas de segurança do Amazon Linux são publicados no Centro de segurança do Amazon Linux. Para obter mais informações sobre os alertas de segurança AL2 023, incluindo alertas para patches ativos do kernel, consulte o Amazon Linux Security Center. Os patches ao vivo do kernel são prefixados com ALASLIVEPATCH. O Centro de segurança do Amazon Linux pode não listar patches ao vivo do kernel que resolvam erros.

Você também pode descobrir os patches ativos do kernel disponíveis para recomendações e CVEs usar a linha de comando.

Como listar todos os patches ao vivo do kernel disponíveis para recomendações

Use o seguinte comando.

$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Para listar todos os patches ativos do kernel disponíveis para CVEs

Use o seguinte comando.

$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Aplicar patches ao vivo do kernel

Você aplica os patches ativos do kernel usando o gerenciador de DNFpacotes da mesma forma que aplica atualizações regulares. O DNFplug-in do Kernel Live Patching gerencia os patches ativos do kernel que você aplica e elimina a necessidade de reinicializar.

dica

Recomendamos que você atualize seu kernel regularmente usando o Kernel Live Patching para garantir que ele continue seguro e atualizado.

É possível optar por aplicar um patch ao vivo do kernel específico, ou aplicar qualquer patch ao vivo do kernel disponível com suas atualizações de segurança regulares.

Como aplicar um patch ao vivo do kernel específico

  1. Obtenha a versão do patch ao vivo do kernel usando um dos comandos descritos em Visualizar os patches ao vivo do kernel disponíveis.

  2. Aplique o patch ativo do kernel para seu kernel AL2 023.

    $ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64

    Por exemplo, o comando a seguir aplica um patch ativo do kernel para a versão AL2 0.23 do kernel. 6.1.12-17.42

    $ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
Como aplicar patches ao vivo do kernel disponíveis com as atualizações de segurança regulares

Use o seguinte comando.

$ sudo dnf upgrade --security

Omita a opção --security para incluir correções de erros.

Importante

  • A versão do kernel não é atualizada após a aplicação de patches ao vivo do kernel. A versão só é atualizada para a nova versão depois da reinicialização da instância.

  • Um kernel AL2 023 recebe patches ativos do kernel por 3 meses. Após esse período, nenhum novo patch ativo do kernel será lançado para essa versão do kernel.

  • Para continuar a receber patches ao vivo do kernel após 3 meses, você deve reinicializar a instância para migrar para a nova versão do kernel. A instância continua recebendo patches ativos do kernel pelos próximos 3 meses após a atualização.

  • Para verificar a janela de suporte para a versão do kernel, execute o seguinte comando.

    $ sudo dnf kernel-livepatch support

Visualizar os patches ao vivo do kernel aplicados

Como visualizar os patches ao vivo do kernel aplicados

Use o seguinte comando.

$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

O comando retornará uma lista dos patches ao vivo do kernel de atualização de segurança carregados e instalados. A seguir está um exemplo de saída.

nota

Um único patch ao vivo do kernel pode incluir e instalar vários patches ao vivo.

Desabilitar o Kernel Live Patching

Se não precisar mais usar o Kernel Live Patching, é possível desabilitá-lo a qualquer momento.

  • Desabilite o uso de livepatches:

    1. Desabilite o plug-in: 

      $ sudo dnf kernel-livepatch manual

    2. Desabilite o serviço kpatch: 

      $ sudo systemctl disable --now kpatch.service

  • Remova totalmente as ferramentas livepatch:

    1. Remover o plug-in de:

      $ sudo dnf remove kpatch-dnf

    2. Remover kpatch-runtime:

      $ sudo dnf remove kpatch-runtime

    3. Remova qualquer livepatches instalado:

      $ sudo dnf remove kernel-livepatch\*