View a markdown version of this page

Der Amazon Linux-Kernel - Amazon Linux 2023
Kernel-LebenszyklusKernel-AktualisierungenÜberschneidung der Kernel-Versionen zwischen den DistributionenCVE-BehandlungWas sollten Sie tun

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Der Amazon Linux-Kernel

Amazon Linux 2023 (AL2023) veröffentlicht im ersten Quartal jedes Jahres einen neuen Long-Term-Support-Kernel (LTS), der auf dem jährlichen LTS-Kernel der Upstream-Linux-Community basiert. Jeder neue LTS-Kernel enthält die neuesten Sicherheitsupdates, Leistungsverbesserungen, Hardwaresupport und Funktionen aus dem Upstream-Linux-Kernel.

Kernel-Lebenszyklus

Jeder AL2023 LTS-Kernel wird vier Jahre lang in zwei Phasen unterstützt:

  1. Vollständige Unterstützung (Jahre 1—2) — Der Kernel erhält Fixes für alle CVE-Schweregrade durch regelmäßige Rebases auf dem Upstream-LTS-Kernel. Diese Phase entspricht dem LTS-Supportfenster der Upstream-Linux-Community. Wenn Upstream das LTS-Supportfenster erweitert, wird Amazon Linux diesem Beispiel folgen.

  2. Wartungssupport (Jahre 3—4) — Nach Ablauf des Upstream-LTS-Supports portiert das Amazon Linux-Team weiterhin hauptsächlich Fixes für kritische und wichtige CVEs (CVSS-Score 7.0 und höher) sowie für bekannte ausgenutzte Sicherheitslücken. Niedriger und mittlerer Schweregrad CVEs werden in dieser Phase nicht zurückportiert.

Nach vier Jahren erreicht der Kernel das Ende seiner Lebensdauer und erhält keine Sicherheitsupdates mehr. Ältere Kernel bleiben über Repositorys verfügbar und Sie können sie weiterhin verwenden. Sie sollten keine weiteren Patches oder Fixes erwarten. Wir empfehlen, vor diesem Datum auf einen unterstützten Kernel zu aktualisieren. Kernelspezifische Updates AMIs werden nach Ablauf des Supportzeitraums eines Kernels nicht mehr aktualisiert.

Die folgende Tabelle zeigt den Supportzeitplan für aktuelle Amazon Linux LTS-Kernel:

Kernel-Aktualisierungen

Ab Juni 2026 AL2023 wird der Standard-Kernel jährlich aktualisiert. Der al2023-ami-kernel-defaultSatz von AMIs wird auf den neuesten LTS-Kernel aktualisiert, sodass neu gestartete Instances mit der neuen Kernel-Version ausgestattet werden.

Laufende Instances werden nicht automatisch auf einen neuen Kernel aktualisiert. Um den Kernel auf einer vorhandenen Instanz zu aktualisieren, müssen Sie das neue Kernel-Paket explizit installieren und neu starten. Details hierzu finden Sie unter Den Linux-Kernel aktualisieren am AL2023.

Wir empfehlen dringend, umgehend neue Kernel einzuführen, um von den neuesten Sicherheits- und Leistungsverbesserungen zu profitieren. Ältere Kernel erhalten im Laufe der Zeit weniger und langsamere Sicherheitsupdates. Integrieren Sie Kernel-Updates in Ihre bestehenden Test- und Bereitstellungspipelines, um die Kompatibilität vor der Einführung in die Produktion zu überprüfen.

Überschneidung der Kernel-Versionen zwischen den Distributionen

Um Migrationen zwischen Amazon Linux-Distributionen zu vereinfachen, wird mindestens eine Kernel-Version sowohl auf der aktuellen als auch auf der nächsten Amazon Linux-Distribution verfügbar sein. Auf diese Weise können Sie zunächst auf Ihrer vorhandenen Distribution auf einen neuen Kernel aufrüsten, Ihre Workloads validieren und dann auf die neue Distribution migrieren, mit der Gewissheit, dass dort dieselbe Kernel-Version verfügbar ist.

CVE-Behandlung

AL2023 adressiert den Kernel CVEs wie folgt:

  • Kritische und wichtige CVEs (CVSS 7.0 und höher) sowie bekannte Sicherheitslücken, die ausgenutzt wurden, werden auf alle unterstützten Kernel zurückportiert.

  • Niedrig und mittel CVEs (CVSS unter 7.0) werden während der vollständigen Supportphase durch regelmäßige Upstream-LTS-Rebases behoben. Während der Phase der Wartungsunterstützung CVEs werden diese nicht zurückportiert. Wenn ein niedriger oder mittlerer CVE nicht innerhalb von 60 Tagen durch eine Upstream-LTS-Rebase behoben wird, wird er im Amazon Linux Security Center als „Kein Fix geplant“ markiert.

Die Ausführung des neuesten verfügbaren Kernels ist der beste Weg, um aktuelle Sicherheits-, Leistungs- und Funktionsupdates zu erhalten.

Was sollten Sie tun

  1. Implementieren Sie Continuous Integration (CI) für Ihre Anwendungen — Bevor Sie Änderungen an Ihrer Produktionseinrichtung vornehmen, stellen Sie sicher, dass diese in einer Testphase ordnungsgemäß validiert wurde. Nehmen Sie Kernel-Updates in Ihre Validierung auf.

  2. Bleiben Sie auf dem neuesten Kernel — Adoptieren Sie jeden neuen jährlichen LTS-Kernel, sobald er verfügbar ist. Neuere Kernel erhalten Sicherheitsupdates schneller. Verwenden Sie die al2023-ami-kernel-defaultSerie von AMIs , um automatisch die vom Amazon Linux-Team empfohlene Kernel-Version zu verwenden.

  3. Automatisieren Sie Updates — Verwenden Sie Tools wie AWS Systems Manager, um Kernel-Updates für Ihre gesamte Flotte zu verwalten.

  4. Planen Sie Neustarts ein — Jedes Kernel-Update erfordert einen Neustart. Bauen Sie Neustartfenster in Ihre Wartungspläne ein.