Utilisation de Kernel Live Patching sur des nœuds gérés Amazon Linux 2 - AWS Systems Manager
Kernel Live Patching  utilisant  Patch ManagerFonctionnement de Kernel Live Patching en utilisant Patch Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de Kernel Live Patching sur des nœuds gérés Amazon Linux 2

Kernel Live Patching pour Amazon Linux 2 vous permet d'appliquer des correctifs de vulnérabilité de sécurité et de bogues critiques à un noyau Linux en cours d'exécution, sans redémarrer ni interrompre les applications en cours d'exécution. Cela vous permet de bénéficier d'une meilleure disponibilité des services et des applications, tout en profitant d'une infrastructure sécurisée et à jour. Kernel Live Patching est pris en charge sur les instances Amazon EC2, sur les appareils Core AWS IoT Greengrass et sur les machines virtuelles sur site qui exécutent Amazon Linux 2.

Pour des informations générales sur Kernel Live Patching, consultez Kernel Live Patching sur AL 2 dans le Guide de l’utilisateur Amazon Linux 2.

Après avoir activé Kernel Live Patching sur un nœud géré Amazon Linux 2, vous pouvez utiliser Patch Manager, un outil d’AWS Systems Manager pour appliquer des correctifs à chaud du noyau au nœud géré. L'utilisation de Patch Manager est une alternative à l'utilisation de flux de travail yum existants sur le nœud pour appliquer les mises à jour.

Avant de commencer

Pour utiliser Patch Manager afin d'appliquer des correctifs à chaud du noyau sur vos nœuds gérés Amazon Linux 2, assurez-vous que vos nœuds sont basés sur la bonne architecture et la bonne version du noyau. Pour obtenir des informations, veuillez consulter Configurations et conditions préalables prises en charge dans le Guide de l’utilisateur Amazon EC2.

Rubriques

Kernel Live Patching  utilisant  Patch Manager

Mise à jour de la version du noyau

Il n'est pas nécessaire de redémarrer un nœud géré après avoir appliqué un correctif à chaud du noyau. Cependant, AWS fournit des correctifs live du noyau pour une version du noyau Amazon Linux 2 jusqu'à trois mois après sa publication. Après la période de 3 mois, vous devez effectuer une mise à jour vers une version ultérieure du noyau pour continuer à recevoir les correctifs à chaud du noyau. Nous vous recommandons d'utiliser une fenêtre de maintenance pour planifier un redémarrage de votre nœud au moins une fois tous les trois mois afin de demander la mise à jour de la version du noyau.

Désinstallation des correctifs live du noyau

Les correctifs live du noyau ne peuvent pas être désinstallés à l'aide de Patch Manager. Au lieu de cela, vous pouvez désactiver Kernel Live Patching, ce qui supprime les packages RPM pour les correctifs live du noyau appliqués. Pour de plus amples informations, consultez Désactiver Kernel Live Patching en utilisant Run Command.

Conformité du noyau

Dans certains cas, l'installation de tous les correctifs CVE à partir de correctifs live pour la version actuelle du noyau peut amener ce noyau dans le même état de conformité qu'une version plus récente du noyau. La version la plus récente est alors signalée comme Installed, tandis que le nœud géré est signalé comme Compliant. Cependant, aucune heure d'installation n'est signalée pour la version plus récente du noyau.

Un correctif live du noyau, plusieurs CVE

Si un patch actif du noyau répond à plusieurs CVE et que ces CVE ont différentes valeurs de classification et de sévérité, seules la classification et la sévérité les plus élevées parmi les CVE sont signalées pour le patch.

Le reste de cette section explique comment utiliser Patch Manager pour appliquer les correctifs à chaud du noyau aux nœuds gérés qui répondent à ces exigences.

Fonctionnement de Kernel Live Patching en utilisant Patch Manager

AWS publie deux types de correctifs live du noyau pour Amazon Linux 2 : les mises à jour de sécurité et les corrections de bogues. Pour appliquer ces types de correctifs, vous utilisez un document de référentiel de correctifs qui cible uniquement les classifications et les sévérités répertoriées dans le tableau suivant.

Classification Sévérité
Security Critical, Important
Bugfix All

Vous pouvez créer une ligne de base de correctifs personnalisée qui cible uniquement ces correctifs, ou utiliser la ligne de base de correctifs AWS-AmazonLinux2DefaultPatchBaseline prédéfinie. En d'autres termes, vous pouvez utiliser AWS-AmazonLinux2DefaultPatchBaseline avec les nœuds gérés Amazon Linux 2 sur lesquels Kernel Live Patching est activé. Les mises à jour à chaud du noyau seront alors appliquées.

Note

La AWS-AmazonLinux2DefaultPatchBaseline configuration indique une période d'attente de 7 jours après la publication ou la dernière mise à jour d'un correctif avant son installation automatique. Si vous ne voulez pas attendre 7 jours pour que les correctifs en direct du noyau soient automatiquement approuvés, vous pouvez créer et utiliser une base de correctifs personnalisée. Dans votre référentiel de correctifs, vous pouvez spécifier une période d'attente d'approbation automatique nulle ou plus courte ou plus longue. Pour de plus amples informations, consultez Utilisation des référentiels de correctifs personnalisés.

Nous vous recommandons la stratégie suivante pour appliquer les mises à jour à chaud du noyau sur vos nœuds gérés :

  1. Activez Kernel Live Patching sur vos nœuds gérés Amazon Linux 2.

  2. Utilisez l’outil Run Command d’AWS Systems Manager pour exécuter une opération Scan sur vos nœuds gérés à l’aide du référentiel AWS-AmazonLinux2DefaultPatchBaseline prédéfini ou d’un référentiel de correctifs personnalisé qui ne cible également que les mises à jour Security dont la sévérité est classée comme Critical ou Important, et dont la sévérité Bugfix est définie sur All.

  3. Utilisez l’outil Compliance d’AWS Systems Manager pour déterminer si l’application de correctifs a été signalée comme non conforme pour l’un des nœuds gérés analysés. Si tel est le cas, consultez les détails de conformité du nœud pour déterminer s'il manque des correctifs à chaud du noyau dans le nœud géré.

  4. Pour installer les correctifs live du noyau manquants, utilisez Run Command avec la même ligne de base que celle spécifiée précédemment, mais cette fois exécutez une opération Install au lieu d'une opération Scan.

    Comme les correctifs live du noyau sont installés sans avoir à redémarrer, vous pouvez choisir l'option de redémarrage NoReboot pour cette opération.

    Note

    Vous pouvez toujours redémarrer le nœud géré si d'autres types de correctifs installés sur celui-ci l'exigent, ou si vous souhaitez procéder à une mise à jour vers un noyau plus récent. Dans ces cas, sélectionnez plutôt l'option de redémarrage RebootIfNeeded.

  5. Revenez à Conformité pour vérifier que les correctifs live du noyau ont été installés.