Amazon Linux 核心 - Amazon Linux 2023
核心生命週期核心更新分佈之間的核心版本重疊CVE 處理您應該做什麼

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Linux 核心

Amazon Linux 2023 (AL2023) 在每年第一Q1發行新的長期支援 (LTS) 核心,以上游 Linux 社群的年度 LTS 核心為基礎。每個新的 LTS 核心都提供上游 Linux 核心的最新安全性修正、效能改善、硬體支援和功能。

核心生命週期

每個 AL2023 LTS 核心支援四年,分為兩個階段:

  1. 完整支援 (第 1–2 年) – 核心透過上游 LTS 核心上的定期重新基礎收到所有 CVE 嚴重性的修正。此階段符合上游 Linux 社群的 LTS 支援時段。如果上游擴展 LTS 支援時段,Amazon Linux 將遵循相應的要求。

  2. 維護支援 (第 3–4 年) – 在上游 LTS 支援期間結束後,Amazon Linux 團隊會繼續向後移植主要修正重大和重要的 CVEs(CVSS 分數 7.0 以上),以及已知的漏洞。在此階段中,不會向後移植低嚴重性和中等嚴重性CVEs。

四年後,核心達到生命週期結束,不再收到安全更新。較舊的核心仍可透過儲存庫使用,您可以繼續使用它們。您不應預期任何進一步的修補程式或修正。我們建議在此日期之前升級至支援的核心。在核心的支援結束日期之後,不會再更新核心特定的 AMIs。

下表顯示目前 Amazon Linux LTS 核心的支援時間表:

核心更新

從 2026 年 6 月開始,AL2023 將每年更新預設核心。al2023-ami-kernel-default 一組 AMIs將更新為最新的 LTS 核心,因此新啟動的執行個體將會出現新的核心版本。

執行中的執行個體不會自動更新為新的核心。若要升級現有執行個體上的核心,您必須明確安裝新的核心套件並重新啟動。如需詳細資訊,請參閱在 AL2023 上更新 Linux 核心

我們強烈建議您立即採用新的核心,以受益於最新的安全性和效能改進。隨著時間的推移,較舊的核心會收到較少且較慢的安全性修正。將核心更新納入現有的測試和部署管道,以在推出生產環境之前驗證相容性。

分佈之間的核心版本重疊

為了簡化 Amazon Linux 發行版本之間的遷移,目前和下一個 Amazon Linux 發行版本上至少有一個核心版本可用。這可讓您先升級到現有分發上的新核心、驗證工作負載,然後遷移到新的分發,並確信該處有相同的核心版本可用。

CVE 處理

AL2023 處理核心 CVEs如下所示:

  • 關鍵和重要的 CVEs (CVSS 7.0 及更高版本) 和已知的利用漏洞會回溯到所有支援的核心。

  • 在整個支援階段,透過定期上游 LTS 重新基底處理低和中 CVEs(CVSS 低於 7.0)。在維護支援階段,不會回溯這些 CVEs。如果上游 LTS 重新基底未在 60 天內解析低或中 CVE,則會在 Amazon Linux 安全中心將其標記為「未計劃修正」。

執行最新的可用核心是取得最新安全性、效能和功能更新的最佳方式。

您應該做什麼

  1. 為您的應用程式實作持續整合 (CI) – 在對您的生產設定進行任何變更之前,請確定已在測試階段正確驗證。在驗證中包含核心更新。

  2. 持續使用最新的核心 – 在推出時立即採用每個新的年度 LTS 核心。較新的核心更快收到安全性修正。使用al2023-ami-kernel-default一系列 AMIs來自動位於 Amazon Linux 團隊建議的核心版本。

  3. 自動化更新 – 使用 AWS Systems Manager 等工具來管理整個機群的核心更新。

  4. 規劃重新啟動 – 每次核心更新都需要重新啟動。在維護排程中建置重新啟動時段。