Verwenden von Kernel Live Patching auf von Amazon Linux 2 verwalteten Knoten - AWS Systems Manager
Kernel Live Patching mit Patch Manager verwendenSo funktioniert Patch Manager mit Kernel Live Patching

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Kernel Live Patching auf von Amazon Linux 2 verwalteten Knoten

Kernel Live Patching für Amazon Linux 2 ermöglicht es Ihnen, Patches für Sicherheitsschwachstellen und kritische Fehler auf einen laufenden Linux-Kernel anzuwenden, ohne Neustarts oder Unterbrechungen der laufenden Anwendungen. Sie profitieren damit von einer verbesserten Service- und Anwendungsverfügbarkeit, gleichzeitig bleibt Ihre Infrastruktur sicher und auf dem neuesten Stand. Kernel Live Patching wird auf Amazon-EC2-Instances und AWS IoT Greengrass-Core-Geräten unterstützt sowie auf virtuellen On-Premises-Maschinen, die auf Amazon Linux 2 ausgeführt werden.

Allgemeine Informationen zu Kernel Live Patching finden Sie unter Kernel Live Patching auf AL2 im Amazon-Linux–2-Benutzerhandbuch.

Nachdem Sie Kernel Live Patching auf einem von Amazon Linux 2 verwalteten Knoten aktiviert haben, können Sie Patch Manager, ein Tool in AWS Systems Manager, verwenden, um Kernel-Live-Patches auf den verwalteten Knoten anzuwenden. Die Verwendung des Patch Manager ist eine Alternative zur Verwendung vorhandener Yum-Workflows auf dem Knoten, um die Updates anzuwenden.

Bevor Sie beginnen

Um mithilfe des Patch Manager Kernel-Live-Patches auf Ihre von Amazon Linux 2 verwalteten Knoten anzuwenden, stellen Sie sicher, dass Ihre Knoten auf der richtigen Architektur und Kernel-Version basieren. Weitere Informationen finden Sie unter Unterstützte Konfigurationen und Voraussetzungen im Amazon-EC2-Benutzerhandbuch.

Themen

Kernel Live Patching mit Patch Manager verwenden

Aktualisieren der Kernel-Version

Sie müssen einen verwalteten Knoten nicht neu starten, nachdem Sie ein Kernel-Live-Patch-Update angewendet haben. AWS stellt jedoch Kernel-Live-Patches für eine Kernel-Version von Amazon Linux 2 für bis zu drei Monate nach der Veröffentlichung bereit. Nach Ablauf der dreimonatigen Frist müssen Sie auf eine spätere Kernel-Version aktualisieren, um weiterhin Kernel-Live-Patches zu erhalten. Wir empfehlen Ihnen, mithilfe eines Wartungsfensters mindestens einmal alle drei Monate einen Neustart Ihres Knoten zu planen, um das Update der Kernel-Version zu veranlassen.

Deinstallieren von Kernel-Live-Patches

Kernel-Live-Patches können nicht mit dem Patch Manager deinstalliert werden. Stattdessen können Sie Kernel Live Patching deaktivieren, wodurch die RPM-Pakete für die angewendeten Kernel-Live-Patches entfernt werden. Weitere Informationen finden Sie unter Deaktivieren von Kernel Live Patching mit Run Command.

Kernel-Compliance

In einigen Fällen kann der Kernel durch die Installation aller CVE-Fixes von Live-Patches für die aktuelle Kernel-Version die Compliance-Ebene erreichen, die auch eine neuere Kernel-Version hätte. Wenn dies geschieht, wird die neuere Version als Installed und der verwaltete Knoten als Compliant gemeldet. Für die neuere Kernel-Version wird jedoch keine Installationszeit gemeldet.

Ein Kernel-Live-Patch, mehrere CVEs

Wenn sich ein Kernel-Live-Patch auf mehrere CVEs bezieht und diese CVEs verschiedene Klassifizierungs- und Schweregradwerte aufweisen, wird für den Patch nur die höchste Klassifizierung und der höchste Schweregrad der CVEs gemeldet.

Im weiteren Teil dieses Abschnitts wird erläutert, wie Patch Manager zum Anwenden von Kernel-Live-Patches auf verwaltete Knoten verwendet wird, die diese Anforderungen erfüllen.

So funktioniert Patch Manager mit Kernel Live Patching

AWS veröffentlicht zwei Arten von Kernel-Live-Patches für Amazon Linux 2: Sicherheitsupdates und Fehlerbehebungen. Um diese Patch-Typen anzuwenden, verwenden Sie ein Patch-Baseline-Dokument, das nur auf die in der folgenden Tabelle aufgeführten Klassifizierungen und Schweregrade ausgerichtet ist.

Klassifizierung Schweregrad
Security Critical, Important
Bugfix All

Sie können eine benutzerdefinierte Patch-Baseline erstellen, die nur auf diese Patches ausgerichtet ist, oder die vordefinierte Patch-Baseline AWS-AmazonLinux2DefaultPatchBaseline verwenden. Mit anderen Worten, Sie können AWS-AmazonLinux2DefaultPatchBaseline mit von Amazon Linux 2 verwalteten Knoten verwenden, auf denen Kernel Live Patching aktiviert ist, und es werden Kernel-Live-Updates angewendet.

Anmerkung

Die AWS-AmazonLinux2DefaultPatchBaseline-Konfiguration hat eine Wartezeit von sieben Tagen nach Veröffentlichung oder letzten Aktualisierung eines Patches, bevor er automatisch installiert wird. Wenn Sie nicht sieben Tage warten möchten, bis Kernel-Live-Patches automatisch genehmigt werden, können Sie eine benutzerdefinierte Patch-Baseline erstellen und verwenden. In der Patch-Baseline können Sie keine Wartezeit für automatische Genehmigung oder einen kürzeren oder längeren Zeitraum angeben. Weitere Informationen finden Sie unter Arbeiten mit benutzerdefinierten Patch-Baselines.

Wir empfehlen die folgende Strategie zum Patchen Ihrer verwalteten Knoten mit Kernel-Live-Updates:

  1. Aktivieren Sie Kernel Live Patching auf Ihren von Amazon Linux 2 verwalteten Knoten.

  2. Verwenden Sie Run Command, ein Tool in AWS Systems Manager, um einen Scan-Vorgang auf Ihren verwalteten Knoten auszuführen, und verwenden Sie dabei die vordefinierte AWS-AmazonLinux2DefaultPatchBaseline oder eine benutzerdefinierte Patch-Baseline, die auch nur Security-Updates anvisiert, deren Schweregrade als Critical oder Important klassifiziert sind, und die den Bugfix-Schweregrad All haben.

  3. Verwenden Sie Compliance, ein Tool in AWS Systems Manager, um zu überprüfen, ob für einen der gescannten verwalteten Knoten die Nichtkonformität zum Patchen gemeldet wird. Wenn dies der Fall ist, zeigen Sie die Compliance-Details für den Knoten an, um festzustellen, ob Kernel-Live-Patches im verwalteten Knoten fehlen.

  4. Um fehlende Kernel-Live-Patches zu installieren, verwenden Sie Run Command mit derselben Patch-Baseline, die Sie zuvor angegeben haben, führen Sie dieses Mal jedoch eine Install-Operation anstelle einer Scan-Operation aus.

    Da Kernel-Live-Patches installiert werden, ohne dass ein Neustart erforderlich ist, können Sie die Neustartoption NoReboot für diese Operation auswählen.

    Anmerkung

    Sie können den verwalteten Knoten dennoch neu starten, wenn dies für andere auf dem Knoten installierte Patch-Typen erforderlich ist oder wenn Sie auf einen neueren Kernel aktualisieren möchten. Wählen Sie in diesen Fällen stattdessen die Neustartoption RebootIfNeeded aus.

  5. Kehren Sie zu Compliance zurück, um zu überprüfen, ob die Kernel-Live-Patches installiert wurden.