亚马逊 Linux 内核 - Amazon Linux 2023
内核生命周期内核更新发行版之间的内核版本重叠CVE 处理你应该做什么

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 Linux 内核

根据上游 Linux 社区的年度 LTS 内核,亚马逊 Linux 2023 (AL2023) 在每年第一季度发布新的长期支持 (LTS) 内核。每个新的 LTS 内核都带来了上游 Linux 内核的最新安全补丁、性能改进、硬件支持和功能。

内核生命周期

每个 AL2023 LTS 内核的支持期限为四年,分为两个阶段:

  1. 全面支持(第 1-2 年)— 内核通过定期在上游 LTS 内核上进行变基,获得所有 CVE 严重程度的修复。此阶段与上游 Linux 社区的 LTS 支持窗口保持一致。如果上游延长 LTS 支持窗口,Amazon Linux 也将效仿。

  2. 维护支持(第 3-4 年)— 在上游 LTS 支持期结束后,Amazon Linux 团队继续向后移植主要修复关键和重要漏洞 CVEs (CVSS 分数 7.0 及以上)以及已知被利用的漏洞。在此阶段不会向后移植低严重性和中等严重性 CVEs 。

四年后,内核寿命终止,不再接收安全更新。较旧的内核仍可通过存储库使用,您可以继续使用它们。你不应该指望有任何进一步的补丁或修复。我们建议在此日期之前升级到支持的内核。在内核终止支持日期之后,特定于内核的内容 AMIs 将不再更新。

下图显示了当前 Amazon Linux LTS 内核的支持时间表:

内核更新

从 2026 年 6 月开始, AL2023 将每年更新默认内核。这al2023-ami-kernel-default组 AMIs 将更新为最新的 LTS 内核,因此新启动的实例将推出新的内核版本。

正在运行的实例不会自动更新到新的内核。要在现有实例上升级内核,必须明确安装新的内核软件包并重新启动。有关更多信息,请参阅 正在更新 Linux 内核 AL2023

我们强烈建议立即采用新内核,以便从最新的安全性和性能改进中受益。随着时间的推移,较旧的内核收到的安全修复越来越少,速度也更慢。将内核更新整合到您现有的测试和部署管道中,以便在部署到生产环境之前验证兼容性。

发行版之间的内核版本重叠

为了简化 Amazon Linux 发行版之间的迁移,当前和下一版 Amazon Linux 发行版中都将至少有一个内核版本可用。这使您可以先在现有发行版上升级到新内核,验证您的工作负载,然后迁移到新的发行版,因为那里有相同的内核版本。

CVE 处理

AL2023 内核地址 CVEs 如下所示:

  • 关键漏洞和重要漏洞 CVEs(CVSS 7.0 及更高版本)以及已知被利用的漏洞将反向移植到所有支持的内核中。

  • 在全面支持阶段,通过定期的上游 LTS 变基来解决@@ 低和中 CVEs(CVSS 低于 7.0)的问题。在维护支持阶段, CVEs 它们不会向后移植。如果上游 LTS 变基未在 60 天内解决低或中等 CVE,则在 A mazon Linux 安全中心将该问题标记为 “未计划修复”。

运行最新的可用内核是获取最新安全、性能和功能更新的最佳方式。

你应该做什么

  1. 为您的应用程序实施持续集成 (CI) — 在对生产设置进行任何更改之前,请确保在测试阶段对其进行了适当的验证。在验证中包括内核更新。

  2. 保持最新内核 — 每款新的年度 LTS 内核一经推出,就立即予以采用。较新的内核可以更快地收到安全修复。使用该al2023-ami-kernel-default系列 AMIs 即可自动使用 Amazon Linux 团队推荐的内核版本。

  3. 自动更新-使用诸如 S AWS ystems Manager 之类的工具来管理机群中的内核更新。

  4. 计划重启-每次内核更新都需要重新启动。在维护计划中加入重启窗口。