View a markdown version of this page

Kernel Linux Amazon - Amazon Linux 2023
Siklus Hidup KernelPembaruan KernelVersi Kernel Tumpang Tindih Antar DistribusiPenanganan CVEApa yang Harus Anda Lakukan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kernel Linux Amazon

Amazon Linux 2023 (AL2023) merilis kernel Long-Term Support (LTS) baru di Q1 setiap tahun, berdasarkan kernel LTS tahunan komunitas Linux hulu. Setiap kernel LTS baru menghadirkan perbaikan keamanan terbaru, peningkatan kinerja, dukungan perangkat keras, dan fitur dari kernel Linux hulu.

Siklus Hidup Kernel

Setiap kernel AL2023 LTS didukung selama empat tahun dalam dua fase:

  1. Dukungan penuh (tahun 1-2) — Kernel menerima perbaikan untuk semua tingkat keparahan CVE melalui rebase reguler pada kernel LTS hulu. Fase ini sejalan dengan jendela dukungan LTS komunitas Linux hulu. Jika upstream memperluas jendela dukungan LTS, Amazon Linux akan mengikutinya.

  2. Dukungan pemeliharaan (tahun 3-4) — Setelah periode dukungan LTS hulu berakhir, tim Amazon Linux terus melakukan backport terutama perbaikan untuk kritis dan penting CVEs (skor CVSS 7.0 ke atas), serta kerentanan yang diketahui dieksploitasi. Tingkat keparahan rendah dan CVEs sedang tidak di-backport selama fase ini.

Setelah empat tahun, kernel mencapai akhir masa pakai dan tidak lagi menerima pembaruan keamanan. Kernel lama tetap tersedia melalui repositori dan Anda dapat terus menggunakannya. Anda seharusnya tidak mengharapkan tambalan atau perbaikan lebih lanjut. Sebaiknya upgrade ke kernel yang didukung sebelum tanggal ini. Kernel-specific tidak AMIs akan lagi diperbarui setelah akhir tanggal dukungan kernel.

Bagan berikut menunjukkan garis waktu dukungan untuk kernel Amazon Linux LTS saat ini:

Pembaruan Kernel

Mulai Juni 2026, AL2023 akan memperbarui kernel default setiap tahun. al2023-ami-kernel-defaultKumpulan AMIs akan diperbarui ke kernel LTS terbaru, sehingga instance yang baru diluncurkan akan muncul dengan versi kernel baru.

Instans yang berjalan tidak diperbarui secara otomatis ke kernel baru. Untuk meng-upgrade kernel pada instance yang ada, Anda harus secara eksplisit menginstal paket kernel baru dan reboot. Lihat perinciannya di Memperbarui Kernel Linux pada AL2023.

Kami sangat menyarankan untuk segera mengadopsi kernel baru untuk mendapatkan manfaat dari peningkatan keamanan dan kinerja terbaru. Kernel yang lebih tua menerima perbaikan keamanan yang lebih sedikit dan lebih lambat dari waktu ke waktu. Gabungkan pembaruan kernel ke dalam pipeline pengujian dan penerapan yang ada untuk memvalidasi kompatibilitas sebelum diluncurkan ke produksi.

Versi Kernel Tumpang Tindih Antar Distribusi

Untuk menyederhanakan migrasi antara distribusi Amazon Linux, setidaknya satu versi kernel akan tersedia pada distribusi Amazon Linux saat ini dan berikutnya. Ini memungkinkan Anda untuk meningkatkan ke kernel baru pada distribusi yang ada terlebih dahulu, memvalidasi beban kerja Anda, dan kemudian bermigrasi ke distribusi baru dengan keyakinan bahwa versi kernel yang sama tersedia di sana.

Penanganan CVE

AL2023 alamat kernel CVEs sebagai berikut:

  • Kritis dan penting CVEs (CVSS 7.0 ke atas) dan kerentanan yang dieksploitasi yang diketahui di-backport ke semua kernel yang didukung.

  • Rendah dan sedang CVEs (CVSS di bawah 7.0) ditangani melalui rebase LTS hulu reguler selama fase dukungan penuh. Selama fase dukungan pemeliharaan, ini tidak CVEs di-backport. Jika CVE rendah atau sedang tidak diselesaikan oleh rebase LTS hulu dalam waktu 60 hari, itu akan ditandai sebagai “Tidak ada perbaikan yang direncanakan” di Pusat Keamanan Amazon Linux.

Menjalankan kernel terbaru yang tersedia adalah cara terbaik untuk mendapatkan pembaruan keamanan, kinerja, dan fungsional terkini.

Apa yang Harus Anda Lakukan

  1. Implementasikan Continuous Integration (CI) untuk aplikasi Anda — Sebelum membuat perubahan apa pun pada pengaturan produksi Anda, pastikan sudah divalidasi dengan benar dalam tahap pengujian. Sertakan pembaruan kernel dalam validasi Anda.

  2. Tetap di kernel terbaru — Adopsi setiap kernel LTS tahunan baru segera setelah tersedia. Kernel yang lebih baru menerima perbaikan keamanan lebih cepat. Konsumsi al2023-ami-kernel-defaultrangkaian AMIs untuk secara otomatis berada di versi kernel yang direkomendasikan oleh tim Amazon Linux.

  3. Mengotomatiskan pembaruan — Gunakan alat seperti AWS Systems Manager untuk mengelola pembaruan kernel di seluruh armada Anda.

  4. Rencana untuk reboot - Setiap pembaruan kernel memerlukan reboot. Bangun jendela reboot ke dalam jadwal pemeliharaan Anda.