Configuraciones admitidas y requisitos previos Usar Kernel Live Patching Limitaciones Preguntas frecuentes

Kernel Live está parcheando AL2

importante

Amazon Linux finalizará la aplicación de parches en vivo para el AL2 Kernel 4.14 el 31 de octubre de 2021. Se recomienda a los clientes que utilicen el núcleo 5.10 como núcleo predeterminado AL2 (consulte los núcleos AL2 compatibles) o que pasen al 023 con los núcleos 6.1 y 6.12. AL2

Amazon Linux proporcionará parches activos para el AL2 kernel 5.10 hasta el final de su vida útil, el 30 de AL2 junio de 2020.

La aplicación de parches en tiempo real para el kernel AL2 permite aplicar parches específicos para vulnerabilidades de seguridad y errores críticos a un núcleo de Linux en ejecución, sin necesidad de reiniciar ni interrumpir las aplicaciones en ejecución. Esto le permite beneficiarse de una mayor disponibilidad de los servicios y las aplicaciones y, al mismo tiempo, aplicar estas correcciones hasta que se pueda reiniciar el sistema.

Para obtener información acerca de los parches en vivo del núcleo para la versión AL2 023, consulte los parches en directo del núcleo para la versión AL2 023 de la Guía del usuario de Amazon Linux 2023.

AWS publica dos tipos de parches activos del kernel para: AL2

Actualizaciones de seguridad: incluye actualizaciones para vulnerabilidades y exposiciones comunes de Linux (CVE). Normalmente, estas actualizaciones se califican como importantes o críticas mediante las clasificaciones de Amazon Linux Security Advisory. Por lo general, se asignan a una puntuación del sistema de clasificación de vulnerabilidades comunes (CVSS) de 7 o superior. En algunos casos, AWS puede proporcionar actualizaciones antes de asignar un CVE. En estos casos, los parches pueden aparecer como correcciones de errores.
Correcciones de errores: incluye correcciones para errores críticos y problemas de estabilidad no relacionados con CVEs ellos.

AWS proporciona parches activos del núcleo para una versión AL2 del núcleo durante un máximo de 3 meses después de su publicación. Después del período de 3 meses, debe actualizar a una versión posterior del kernel para continuar recibiendo parches activos de kernel.

AL2 los parches activos del núcleo están disponibles como paquetes RPM firmados en los AL2 repositorios existentes. Los parches se pueden instalar en instancias individuales mediante los flujos de trabajo de yum existentes, o se pueden instalar en un grupo de instancias gestionadas mediante AWS Systems Manager.

Kernel Live Patching on AL2 se proporciona sin coste adicional.

Temas

Configuraciones admitidas y requisitos previos
Usar Kernel Live Patching
Limitaciones
Preguntas frecuentes

Configuraciones admitidas y requisitos previos

Kernel Live Patching es compatible con las EC2 instancias de Amazon y las máquinas virtuales locales que se estén ejecutando. AL2

Para usar Kernel Live Patching AL2, debe usar:

Versión del Kernel 4.14 o 5.10 en la arquitectura x86_64
Versión del Kernel 5.10 en la arquitectura ARM64

Requisitos de política

Para descargar paquetes de los repositorios de Amazon Linux, Amazon EC2 necesita acceder a los buckets de Amazon S3 propiedad del servicio. Si utiliza un punto de conexión de Amazon Virtual Private Cloud (VPC) para Amazon S3 en su entorno, debe asegurarse de que su política de punto de conexión de VPC permita el acceso a esos buckets públicos.

En la tabla se describe cada uno de los buckets de Amazon S3 a los que EC2 podría ser necesario acceder para aplicar parches en directo al núcleo.

ARN del bucket de S3	Description (Descripción)
arn:aws:s3: ::packages. `region`.amazonaws.com/*	Bucket de Amazon S3 que contiene paquetes de la AMI de Amazon Linux
arn:aws:s3: :repo. `region`.amazonaws.com/*	Bucket de Amazon S3 que contiene repositorios de la AMI de Amazon Linux
arn:aws:s3: :amazonlinux. `region`.amazonaws.com/*	Depósito de Amazon S3 que contiene AL2 repositorios
arn:aws:s3: :amazonlinux-2-repos- /* `region`	Depósito de Amazon S3 que contiene AL2 repositorios

La siguiente política ilustra cómo restringir el acceso a las identidades y los recursos que pertenecen a su organización y proporcionar acceso a los buckets de Amazon S3 necesarios para Kernel Live Patching. Sustituya region principal-org-id y por resource-org-id los valores de su organización.

Usar Kernel Live Patching

Puede habilitar y usar Kernel Live Patching en instancias individuales mediante la línea de comandos de la propia instancia, o puede habilitar y usar Kernel Live Patching en un grupo de instancias administradas mediante AWS Systems Manager.

En las siguientes secciones se explica cómo habilitar y usar Kernel Live Patching en instancias individuales mediante la línea de comandos.

Para obtener más información sobre cómo habilitar y usar los parches dinámicos del núcleo en un grupo de instancias administradas, consulte el tema sobre cómo usar los parches automáticos del núcleo en las AL2 instancias de la Guía del usuario.AWS Systems Manager

Temas

Habilitar Kernel Live Patching
Visualizar los parches activos disponibles del kernel
Aplicar parches activos del kernel
Ver los parches activos del kernel aplicados
Deshabilitar Kernel Live Patching

Habilitar Kernel Live Patching

La aplicación de parches en tiempo real del núcleo está desactivada de forma predeterminada. AL2 Para usar parches activos, debe instalar el complemento yum de Kernel Live Patching y habilitar la funcionalidad de parches en vivo.

Requisitos previos

Kernel Live Patching requiere binutils. Si no tiene binutils instalado, instálelo con el siguiente comando:


$ sudo yum install binutils

Para habilitar Kernel Live Patching

Los parches activos del núcleo están disponibles para las siguientes versiones AL2 del núcleo:
- Versión del Kernel 4.14 o 5.10 en la arquitectura x86_64
- Versión del Kernel 5.10 en la arquitectura ARM64
Para verificar la versión del kernel, ejecute el siguiente comando.
```
$ sudo yum list kernel
```
Si ya tiene una versión de kernel compatible, omita este paso. Si no tiene una versión de kernel compatible, ejecute los siguientes comandos para actualizar el kernel a la versión más reciente y para reiniciar la instancia.
```
$ sudo yum install -y kernel
```
```
$ sudo reboot
```

Instale el complemento yum de Kernel Live Patching.


$ sudo yum install -y yum-plugin-kernel-livepatch

Habilite el complemento yum de Kernel Live Patching.
```
$ sudo yum kernel-livepatch enable -y
```
Este comando también instala la última versión del RPM del parche activo del kernel desde los repositorios configurados.
Para confirmar que el complemento yum de Kernel Live Patching se ha instalado correctamente, ejecute el siguiente comando.
```
$ rpm -qa | grep kernel-livepatch
```
Cuando habilite Kernel Live Patching, se aplica automáticamente un RPM de parche activo del kernel vacío. Si Kernel Live Patching se habilitó correctamente, este comando devuelve una lista que incluye el RPM inicial vacío del parche activo de kernel. A continuación, se muestra un ejemplo del resultado.
```
yum-plugin-kernel-livepatch-1.0-0.11.amzn2.noarch
kernel-livepatch-5.10.102-99.473-1.0-0.amzn2.x86_64
```
Instale el paquete kpatch.
```
$ sudo yum install -y kpatch-runtime
```
Actualice el servicio kpatch si se instaló previamente.
```
$ sudo yum update kpatch-runtime
```
Inicie el servicio kpatch. Este servicio carga todos los parches activos del kernel al inicializar o al arrancar.
```
$ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service
```
Active el tema Kernel Live Patching en la biblioteca de AL2 extras. Este tema incluye los parches activos del kernel.
```
$ sudo amazon-linux-extras enable livepatch
```

Visualizar los parches activos disponibles del kernel

Las alertas de seguridad de Amazon Linux se publican en el Centro de seguridad de Amazon Linux. Para obtener más información sobre las alertas de AL2 seguridad, que incluyen alertas de parches activos del kernel, consulte el Centro de seguridad de Amazon Linux. Los parches activos del kernel tienen el prefijo ALASLIVEPATCH. Es posible que el Centro de seguridad de Amazon Linux no incluya revisiones activas del kernel que resuelven errores.

También puede encontrar los parches activos del kernel disponibles para obtener avisos y CVEs usar la línea de comandos.

Para enumerar todos los parches activos del kernel disponibles para avisos.

Utilice el siguiente comando.


$ yum updateinfo list

A continuación se muestra un resultado de ejemplo.


Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motd
ALAS2LIVEPATCH-2020-002 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
ALAS2LIVEPATCH-2020-005 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done

Para ver una lista de todos los parches activos del núcleo disponibles para CVEs

Utilice el siguiente comando.


$ yum updateinfo list cves

A continuación se muestra un ejemplo de salida.


Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motdamzn2-core/2/x86_64 | 2.4 kB 00:00:00 
CVE-2019-15918 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2019-20096 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2020-8648 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done

Aplicar parches activos del kernel

Aplicar parches activos del kernel usando el administrador de paquetes yum de la misma manera que aplicaría actualizaciones regulares. El complemento yum para Kernel Live Patching administra los parches activos del kernel que están disponibles para su aplicación.

sugerencia

Le recomendamos que actualice el kernel regularmente con Kernel Live Patching para asegurarse de que recibe correcciones de seguridad específicas importantes y críticas hasta que el sistema pueda reiniciarse. Compruebe también si hay disponibles correcciones adicionales para el paquete nativo del núcleo que no se puedan implementar como parches activos y, en esos casos, actualice y reinicie con la actualización del kernel.

Puede optar por aplicar un parche activo específico del kernel o aplicar cualquier parche activo del kernel disponible junto con las actualizaciones de seguridad regulares.

Para aplicar un parche activo del codigo kernel específico.

Obtenga la versión del parche activo del kernel con uno de los comandos descritos en Visualizar los parches activos disponibles del kernel.
Aplique el parche activo del núcleo a su AL2 núcleo.
```
$ sudo yum install kernel-livepatch-kernel_version.x86_64
```
Por ejemplo, el siguiente comando aplica un parche activo del kernel para la versión AL2 del kernel 5.10.102-99.473.
```
$ sudo yum install kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
```

Para aplicar los parches activos del kernel disponibles junto con las actualizaciones de seguridad regulares

Utilice el siguiente comando.


$ sudo yum update --security

Omita la opción --security para incluir correcciones de errores.

importante

La versión del kernel no se actualiza después de aplicar parches activos del kernel. La versión solo se actualiza a la nueva versión después de reiniciar la instancia.
Un AL2 núcleo recibe los parches activos del núcleo durante un período de tres meses. Una vez transcurrido el período de tres meses, no se inician nuevos parches activos del kernel para esa versión del kernel. Para continuar recibiendo parches activos del kernel después del período de tres meses, debe reiniciar la instancia para pasar a la nueva versión del kernel, que luego continuará recibiendo parches activos del kernel durante los próximos tres meses. Para verificar la ventana de soporte para la versión del kernel, ejecute yum kernel-livepatch supported.

Ver los parches activos del kernel aplicados

Para ver los parches activos del kernel aplicados

Utilice el siguiente comando.


$ kpatch list

El comando devuelve una lista de los parches activos del kernel de actualización de seguridad cargados e instalados. A continuación, se muestra un ejemplo del resultado.


Loaded patch modules:
livepatch_cifs_lease_buffer_len [enabled]
livepatch_CVE_2019_20096 [enabled]
livepatch_CVE_2020_8648 [enabled]
	
Installed patch modules:
livepatch_cifs_lease_buffer_len (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2019_20096 (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2020_8648 (5.10.102-99.473.amzn2.x86_64)

nota

Un único parche activo del kernel puede incluir e instalar varios parches activos.

Deshabilitar Kernel Live Patching

Si ya no necesita utilizar Kernel Live Patching, puede desactivarlo en cualquier momento.

Para deshabilitar Kernel Live Patching

Elimine los paquetes RPM para los parches activos del kernel aplicados.
```
$ sudo yum kernel-livepatch disable
```
Desinstale el complemento yum para Kernel Live Patching.
```
$ sudo yum remove yum-plugin-kernel-livepatch
```
Reinicie la instancia.
```
$ sudo reboot
```

Limitaciones

Kernel Live Patching tiene las siguientes limitaciones:

Al aplicar un parche activo del kernel, no puede realizar la hibernación, usar herramientas de depuración avanzadas (como SystemTap kprobes y herramientas basadas en EBPF) ni acceder a los archivos de salida de ftrace que utiliza la infraestructura de parches en vivo del kernel.
nota
Debido a limitaciones técnicas, algunos problemas no se pueden solucionar con los parches activos. Por este motivo, estas correcciones no se incluirán en el paquete de parches activos del kernel, sino únicamente en la actualización del paquete nativo del kernel. Puede instalar la actualización del paquete nativo del núcleo y reiniciar el sistema para activar los parches como de costumbre.

Preguntas frecuentes

Para ver las preguntas más frecuentes sobre los parches en vivo del núcleo AL2, consulte las Preguntas frecuentes sobre los parches en vivo del núcleo de Amazon Linux 2.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AL2 núcleos compatibles

AL2 Extras