Kernel Live Patching est activé AL2 - Amazon Linux 2
Configurations et conditions préalables prises en chargeUtiliser l’application Kernel Live PatchingLimitationsQuestions fréquentes (FAQ)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Kernel Live Patching est activé AL2

Important

Amazon Linux mettra fin à la mise à jour en direct pour AL2 Kernel 4.14 le 31 octobre 2025. Les clients sont invités à utiliser le noyau 5.10 comme noyau par défaut pour AL2 (voir les noyaux AL2 pris en charge) ou à passer au AL2 023 avec les noyaux 6.1 et 6.12.

Amazon Linux fournira des correctifs actifs pour le AL2 noyau 5.10 jusqu'à la fin de vie du 30 AL2 juin 2020.

Kernel Live Patching for vous AL2 permet d'appliquer une vulnérabilité de sécurité spécifique et des correctifs de bogues critiques à un noyau Linux en cours d'exécution, sans redémarrage ni interruption de l'exécution des applications. Cela vous permet de bénéficier d'une meilleure disponibilité des services et des applications, tout en appliquant ces correctifs jusqu'à ce que le système puisse être redémarré.

Pour plus d'informations sur Kernel Live Patching pour AL2 023, consultez Kernel Live Patching on AL2 023 dans le Guide de l'utilisateur Amazon Linux 2023.

AWS publie deux types de patchs dynamiques du noyau pour AL2 :

  • Mises à jour de sécurité : incluent des mises à jour pour les failles et vulnérabilités communes (CVE) Linux. Ces mises à jour sont généralement jugées importantes ou critiques à l’aide des évaluations Amazon Linux de sécurité. Elles correspondent généralement à un score CVSS (Common Vulnerability Scoring System) égal à 7 ou plus. Dans certains cas, AWS peut fournir des mises à jour avant qu'un CVE ne soit attribué. Dans ces cas, les correctifs peuvent apparaître comme des correctifs de bogues.

  • Corrections de bogues — Incluez des correctifs pour les bogues critiques et les problèmes de stabilité qui ne sont pas associés à CVEs.

AWS fournit des correctifs dynamiques du AL2 noyau pour une version du noyau jusqu'à 3 mois après sa publication. Après la période de 3 mois, vous devez effectuer une mise à jour vers une version ultérieure du noyau pour continuer à recevoir les correctifs à chaud du noyau.

AL2 les correctifs dynamiques du noyau sont disponibles sous forme de packages RPM signés dans les AL2 référentiels existants. Les correctifs peuvent être installés sur des instances individuelles à l'aide des flux de travail yum existants, ou ils peuvent être installés sur un groupe d'instances gérées à l'aide de AWS Systems Manager.

L'activation de Kernel Live Patching AL2 est fournie sans frais supplémentaires.

Configurations et conditions préalables prises en charge

Kernel Live Patching est pris en charge sur les EC2 instances Amazon et les machines virtuelles sur site en cours d'exécution. AL2

Pour utiliser Kernel Live Patching sur Kernel AL2, vous devez utiliser :

  • Version 4.14 ou 5.10 du noyau sur l’architecture x86_64

  • Version 5.10 du noyau sur l’architecture ARM64

Exigences des politiques

Pour télécharger des packages depuis les référentiels Amazon Linux, Amazon EC2 doit avoir accès à des compartiments Amazon S3 appartenant au service. Si vous utilisez un point de terminaison Amazon Virtual Private Cloud (VPC) pour Amazon S3 dans votre environnement, vous devez vous assurer que votre politique de point de terminaison d’un VPC autorise l’accès à ces compartiments publics.

Le tableau décrit chacun des compartiments Amazon S3 auxquels il EC2 peut être nécessaire d'accéder pour Kernel Live Patching.

ARN de compartiment S3 Description
arn:aws:s3 : ::packages. region.amazonaws.com/*

Compartiment Amazon S3 contenant des packages d’AMI Amazon Linux

arn:aws:s3 : ::repo. region.amazonaws.com/*

Compartiment Amazon S3 contenant des référentiels d’AMI Amazon Linux
arn:aws:s3 : ::amazonlinux. region.amazonaws.com/*

Compartiment Amazon S3 contenant des AL2 référentiels
arn:aws:s3 : ::amazonlinux-2-repos- /* region

Compartiment Amazon S3 contenant des AL2 référentiels

La politique suivante illustre comment restreindre l’accès aux identités et aux ressources qui appartiennent à votre organisation et fournir l’accès aux compartiments Amazon S3 requis pour le Kernel Live Patching. Remplacezregion, principal-org-id et resource-org-id par les valeurs de votre organisation.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "principal-org-id",
          "aws:ResourceOrgID": "resource-org-id"
        }
      }
    },
    {
      "Sid": "AllowAccessToAmazonLinuxAMIRepositories",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::packages.region.amazonaws.com/*",
        "arn:aws:s3:::repo.region.amazonaws.com/*",
        "arn:aws:s3:::amazonlinux.region.amazonaws.com/*",
        "arn:aws:s3:::amazonlinux-2-repos-region/*"
      ]
    }
  ]
}

Utiliser l’application Kernel Live Patching

Vous pouvez activer et utiliser Kernel Live Patching sur des instances individuelles à l'aide de la ligne de commande de l'instance elle-même, ou vous pouvez activer et utiliser Kernel Live Patching sur un groupe d'instances gérées à l'aide de AWS Systems Manager.

Les sections suivantes expliquent comment activer et utiliser Kernel Live Patching sur des instances individuelles à l’aide de la ligne de commande.

Pour plus d'informations sur l'activation et l'utilisation du Kernel Live Patching sur un groupe d'instances gérées, consultez la section Utiliser le Kernel Live Patching sur les AL2 instances dans le Guide de l'AWS Systems Manager utilisateur.

Activer Kernel Live Patching

Kernel Live Patching est désactivé par défaut sur AL2. Pour utiliser l’application Kernel Live Patching, vous devez installer le plug-in yum pour Kernel Live Patching et activer la fonctionnalité Kernel Live Patching.

Conditions préalables

Kernel Live Patching nécessite binutils. Si vous n’avez pas binutils installé, installez-le à l’aide de la commande suivante :

$ sudo yum install binutils
Pour activer Kernel Live Patching

  1. Les correctifs dynamiques du noyau sont disponibles pour les versions de AL2 noyau suivantes :

    • Version 4.14 ou 5.10 du noyau sur l’architecture x86_64

    • Version 5.10 du noyau sur l’architecture ARM64

    Pour vérifier la version de votre noyau, exécutez la commande suivante.

    $ sudo yum list kernel

  2. Si vous avez déjà une version du noyau prise en charge, ignorez cette étape. Si vous ne disposez pas d’une version du noyau prise en charge, exécutez les commandes suivantes pour mettre à jour le noyau vers la dernière version et pour redémarrer l’instance.

    $ sudo yum install -y kernel
    $ sudo reboot

  3. Installez le plugin yum pour Kernel Live Patching.

    $ sudo yum install -y yum-plugin-kernel-livepatch

  4. Activez le plugin yum pour Kernel Live Patching.

    $ sudo yum kernel-livepatch enable -y

    Cette commande installe également la dernière version du RPM du correctif à chaud du noyau à partir des référentiels configurés.

  5. Pour confirmer que le plugin yum pour Kernel Live Patching a bien été installé, exécutez la commande suivante.

    $ rpm -qa | grep kernel-livepatch

    Lorsque vous activez Kernel Live Patching, un RPM vide du correctif à chaud du noyau est automatiquement appliqué. Si Kernel Live Patching a été activé avec succès, cette commande renvoie une liste qui inclut le RPM vide initial du correctif à chaud du noyau. Voici un exemple de sortie.

    yum-plugin-kernel-livepatch-1.0-0.11.amzn2.noarch
kernel-livepatch-5.10.102-99.473-1.0-0.amzn2.x86_64

  6. Installez le package kpatch.

    $ sudo yum install -y kpatch-runtime

  7. Mettez à jour le service kpatch s’il a été installé précédemment. 

    $ sudo yum update kpatch-runtime

  8. Démarrez le service kpatch. Ce service charge tous les correctifs à chaud du noyau lors de l’initialisation ou au démarrage. 

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

  9. Activez la rubrique Kernel Live Patching dans la bibliothèque AL2 Extras. Cette rubrique contient les correctifs à chaud du noyau.

    $ sudo amazon-linux-extras enable livepatch

Afficher les correctifs à chaud du noyau disponibles

Les alertes de sécurité Amazon Linux sont publiées dans le Centre de sécurité Amazon Linux. Pour plus d'informations sur les alertes AL2 de sécurité, qui incluent les alertes relatives aux correctifs actifs du noyau, consultez le centre de sécurité Amazon Linux. Les correctifs Kernel Live sont préfixés avec ALASLIVEPATCH. Le Centre de sécurité Amazon Linux peut ne pas répertorier les correctifs à chaud du noyau qui corrigent les bogues.

Vous pouvez également découvrir les correctifs dynamiques du noyau disponibles pour les alertes et à CVEs l'aide de la ligne de commande.

Pour répertorier tous les correctifs à chaud du noyau disponibles pour les avis

Utilisez la commande suivante.

$ yum updateinfo list

Voici un exemple de sortie.

Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motd
ALAS2LIVEPATCH-2020-002 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
ALAS2LIVEPATCH-2020-005 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done
Pour répertorier tous les correctifs dynamiques du noyau disponibles pour CVEs

Utilisez la commande suivante de l’.

$ yum updateinfo list cves

Voici un exemple de sortie.

Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motdamzn2-core/2/x86_64 | 2.4 kB 00:00:00 
CVE-2019-15918 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2019-20096 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2020-8648 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done

Appliquer des correctifs à chaud du noyau

Vous appliquez les correctifs à chaud du noyau en utilisant le gestionnaire de paquets yum de la même manière que vous appliquez les mises à jour régulières. Le plugin yum pour Kernel Live Patching gère les correctifs dynamiques du noyau qui peuvent être appliqués.

Astuce

Nous vous recommandons de mettre régulièrement à jour votre noyau à l'aide de Kernel Live Patching afin de vous assurer qu'il reçoit des correctifs de sécurité spécifiques importants et critiques jusqu'à ce que le système puisse être redémarré. Vérifiez également si des correctifs supplémentaires ont été mis à disposition du package du noyau natif qui ne peuvent pas être déployés sous forme de correctifs actifs, puis mettez à jour et redémarrez la mise à jour du noyau dans ces cas.

Vous pouvez choisir d’appliquer un correctif à chaud du noyau spécifique ou d’appliquer tous les correctifs à chaud du noyau disponibles avec vos mises à jour de sécurité régulières.

Pour appliquer un correctif à chaud du noyau spécifique

  1. Obtenez la version du correctif à chaud du noyau à l’aide de l’une des commandes décrites à la section Afficher les correctifs à chaud du noyau disponibles.

  2. Appliquez le correctif dynamique du noyau pour votre AL2 noyau.

    $ sudo yum install kernel-livepatch-kernel_version.x86_64

    Par exemple, la commande suivante applique un correctif à chaud du noyau pour la version du noyau AL2 5.10.102-99.473.

    $ sudo yum install kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
Pour appliquer les correctifs à chaud du noyau disponibles avec vos mises à jour de sécurité régulières

Utilisez la commande suivante.

$ sudo yum update --security

Omettre l’option --securityd’inclure les corrections de bogues.

Important

  • La version du noyau n’est pas mise à jour après l’application des correctifs à chaud du noyau. La version est mise à jour vers la nouvelle version seulement après le redémarrage de l’instance.

  • Un AL2 noyau reçoit des correctifs dynamiques pendant une période de trois mois. Une fois la période de trois mois écoulée, aucun nouveau correctif à chaud du noyau n’est publié pour cette version du noyau. Pour continuer à recevoir les correctifs à chaud du noyau après la période de trois mois, vous devez redémarrer l’instance pour passer à la nouvelle version du noyau, qui continuera ensuite à recevoir les correctifs à chaud du noyau pendant les trois prochains mois. Pour vérifier la fenêtre de support de votre version du noyau, exécutez yum kernel-livepatch supported.

Afficher les correctifs à chaud du noyau appliqués

Pour afficher les correctifs à chaud du noyau appliqués

Utilisez la commande suivante.

$ kpatch list

La commande renvoie une liste des correctifs à chaud du noyau des mise à jour de sécurité chargés et installés. Voici un exemple de sortie.

Loaded patch modules:
livepatch_cifs_lease_buffer_len [enabled]
livepatch_CVE_2019_20096 [enabled]
livepatch_CVE_2020_8648 [enabled]
	
Installed patch modules:
livepatch_cifs_lease_buffer_len (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2019_20096 (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2020_8648 (5.10.102-99.473.amzn2.x86_64)
Note

Un seul correctif à chaud du noyau peut inclure et installer plusieurs correctifs à chaud.

Désactiver Kernel Live Patching

Si vous n’avez plus besoin d’utiliser Kernel Live Patching, vous pouvez le désactiver à tout moment.

Pour désactiver Kernel Live Patching

  1. Supprimez les packages RPM pour les correctifs à chaud du noyau appliqués.

    $ sudo yum kernel-livepatch disable

  2. Désinstallez le plugin yum pour Kernel Live Patching.

    $ sudo yum remove yum-plugin-kernel-livepatch

  3. Redémarrez l’instance.

    $ sudo reboot

Limitations

Kernel Live Patching présente les limitations suivantes :

  • Lorsque vous appliquez un correctif dynamique du noyau, vous ne pouvez pas effectuer d'hibernation, utiliser des outils de débogage avancés (tels que SystemTap des outils basés sur kprobes et EBPF) ou accéder aux fichiers de sortie ftrace utilisés par l'infrastructure Kernel Live Patching.

  • Note

    En raison de limitations techniques, certains problèmes ne peuvent pas être résolus par l'application de correctifs en direct. Pour cette raison, ces correctifs ne seront pas fournis dans le package de mise à jour dynamique du noyau, mais uniquement dans le package de mise à jour du package natif du noyau. Vous pouvez installer la mise à jour du package natif du noyau et redémarrer le système pour activer les correctifs comme d'habitude.

Questions fréquentes (FAQ)

Pour les questions fréquemment posées sur Kernel Live Patching for AL2, consultez la FAQ sur les correctifs Kernel Live d'Amazon Linux 2.