Kernel Live Patching attivo AL2 - Amazon Linux 2
Configurazioni e prerequisiti supportatiUtilizzo di Kernel Live PatchingLimitazioniDomande frequenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Kernel Live Patching attivo AL2

Importante

Amazon Linux interromperà l'applicazione di patch live per AL2 Kernel 4.14 il 31/10/2025. I clienti sono incoraggiati a utilizzare il kernel 5.10 come kernel predefinito per AL2 (vedi kernel AL2 supportati) o a passare alla versione 023 con i kernel 6.1 e 6.12. AL2

Amazon Linux fornirà patch live per AL2 Kernel 5.10 fino alla fine del ciclo di AL2 vita, il 30/06/2020.

Kernel Live Patching for AL2 consente di applicare vulnerabilità di sicurezza specifiche e patch di bug critici a un kernel Linux in esecuzione, senza riavvii o interruzioni delle applicazioni in esecuzione. Ciò consente di beneficiare di una migliore disponibilità dei servizi e delle applicazioni, applicando queste correzioni fino al riavvio del sistema.

Per informazioni su Kernel Live Patching per AL2 023, consulta Kernel Live Patching on 023 AL2 nella Amazon Linux 2023 User Guide.

AWS rilascia due tipi di patch live del kernel per: AL2

  • Aggiornamenti di sicurezza: includono aggiornamenti per CVE (Common Vulnerabilities and Exposures) di Linux. Questi aggiornamenti sono in genere classificati come importanti o critici utilizzando le classificazioni di Amazon Linux Security Advisory. Generalmente vengono mappati a un punteggio CVSS (Common Vulnerability Scoring System) di 7 o superiore. In alcuni casi, AWS potrebbe fornire aggiornamenti prima dell'assegnazione di un CVE. In questi casi, le patch potrebbero apparire come correzioni di bug.

  • Correzioni di bug: includono correzioni di bug critici e problemi di stabilità a cui non sono associati. CVEs

AWS fornisce patch live del kernel per una versione del AL2 kernel per un massimo di 3 mesi dopo il suo rilascio. Dopo il periodo di 3 mesi, è necessario eseguire l'aggiornamento a una versione del kernel successiva per continuare a ricevere patch live del kernel.

AL2 le patch live del kernel sono rese disponibili come pacchetti RPM firmati nei repository esistenti. AL2 Le patch possono essere installate su singole istanze utilizzando i flussi di lavoro yum esistenti oppure possono essere installate su un gruppo di istanze gestite utilizzando Systems Manager. AWS

Kernel Live Patching on AL2 viene fornito senza costi aggiuntivi.

Configurazioni e prerequisiti supportati

Kernel Live Patching è supportato EC2 sulle istanze Amazon e sulle macchine virtuali locali in esecuzione. AL2

Per utilizzare Kernel Live Patching su, devi usare: AL2

  • Versione del kernel 4.14 o 5.10 sull'architettura x86_64

  • Versione del kernel 5.10 sull'architettura ARM64

Requisiti per le policy

Per scaricare pacchetti dai repository Amazon Linux, Amazon EC2 deve accedere ai bucket Amazon S3 di proprietà del servizio. Se utilizzi un endpoint del cloud privato virtuale (VPC) di Amazon per Amazon S3 nel tuo ambiente, devi assicurarti che la policy degli endpoint VPC consenta l'accesso a tali bucket pubblici.

La tabella descrive ciascuno dei bucket Amazon S3 a cui EC2 potrebbe essere necessario accedere per Kernel Live Patching.

ARN di bucket S3 Description
arn:aws:s3: :pacchetti. region.amazonaws.com/*

Bucket Amazon S3 contenente i pacchetti AMI Amazon Linux

arn:aws:s3: ::repo. region.amazonaws.com/*

Bucket Amazon S3 contenente i repository AMI Amazon Linux
arn:aws:s3: ::amazonlinux. region.amazonaws.com/*

Bucket Amazon S3 contenente repository AL2

arn:aws:s3: :amazonlinux-2-repos- /* region

Bucket Amazon S3 contenente repository AL2

La policy seguente illustra come limitare l'accesso alle identità e alle risorse che appartengono alla tua organizzazione e fornire l'accesso ai bucket Amazon S3 richiesti per Kernel Live Patching. Sostituisci region principal-org-id e resource-org-id con i valori della tua organizzazione.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "principal-org-id",
          "aws:ResourceOrgID": "resource-org-id"
        }
      }
    },
    {
      "Sid": "AllowAccessToAmazonLinuxAMIRepositories",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::packages.region.amazonaws.com/*",
        "arn:aws:s3:::repo.region.amazonaws.com/*",
        "arn:aws:s3:::amazonlinux.region.amazonaws.com/*",
        "arn:aws:s3:::amazonlinux-2-repos-region/*"
      ]
    }
  ]
}

Utilizzo di Kernel Live Patching

È possibile abilitare e utilizzare Kernel Live Patching su singole istanze utilizzando la riga di comando sull'istanza stessa oppure è possibile abilitare e utilizzare Kernel Live Patching su un gruppo di istanze gestite utilizzando Systems Manager. AWS

Le sezioni seguenti spiegano come abilitare e utilizzare Kernel Live Patching su singole istanze utilizzando la riga di comando.

Per ulteriori informazioni sull'attivazione e l'utilizzo di Kernel Live Patching su un gruppo di istanze gestite, consulta Use Kernel Live Patching sulle istanze nella Guida per l'utente. AL2 AWS Systems Manager

Abilitazione di Kernel Live Patching

Kernel Live Patching è disabilitato per impostazione predefinita su. AL2 Per utilizzare l'applicazione di patch live, è necessario installare il plugin yum per Kernel Live Patching e abilitare la funzionalità di applicazione di patch live.

Prerequisiti

L'applicazione di patch live del kernel richiede binutils. Se binutils non è stato installato, installarlo utilizzando il seguente comando:

$ sudo yum install binutils
Per abilitare Kernel Live Patching

  1. Le patch live del kernel sono disponibili per le seguenti versioni del kernel: AL2

    • Versione del kernel 4.14 o 5.10 sull'architettura x86_64

    • Versione del kernel 5.10 sull'architettura ARM64

    Per controllare la versione del kernel, eseguire il seguente comando.

    $ sudo yum list kernel

  2. Se si dispone già di una versione del kernel supportata, ignorare questa fase. Se non si dispone di una versione del kernel supportata, eseguire i seguenti comandi per aggiornare il kernel alla versione più recente e riavviare l'istanza.

    $ sudo yum install -y kernel
    $ sudo reboot

  3. Installare il plugin yum per Kernel Live Patching.

    $ sudo yum install -y yum-plugin-kernel-livepatch

  4. Abilitare il plugin yum per Kernel Live Patching.

    $ sudo yum kernel-livepatch enable -y

    Questo comando installa anche l'ultima versione dell'RPM della patch live del kernel dai repository configurati.

  5. Per confermare che il plugin yum per Kernel Live Patching è stato installato correttamente, eseguire il seguente comando.

    $ rpm -qa | grep kernel-livepatch

    Quando si abilita Kernel Live Patching, viene automaticamente applicata una RPM della patch live del kernel vuota. Se Kernel Live Patching è stata abilitata correttamente, questo comando restituisce un elenco che include l'RPM della patch live del kernel vuota iniziale. Di seguito è riportato un output di esempio.

    yum-plugin-kernel-livepatch-1.0-0.11.amzn2.noarch
kernel-livepatch-5.10.102-99.473-1.0-0.amzn2.x86_64

  6. Installare il pacchetto kpatch.

    $ sudo yum install -y kpatch-runtime

  7. Aggiornare il servizio kpatch se è stato precedentemente installato. 

    $ sudo yum update kpatch-runtime

  8. Avviare il servizio kpatch. Questo servizio carica tutte le patch live del kernel dopo l'inizializzazione o l'avvio. 

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

  9. Abilita l'argomento Kernel Live Patching nella libreria Extras. AL2 Questo argomento contiene le patch live del kernel.

    $ sudo amazon-linux-extras enable livepatch

Visualizzazione delle patch live del kernel disponibili

Gli avvisi di sicurezza di Amazon Linux vengono pubblicati nel Centro di Sicurezza Amazon Linux. Per ulteriori informazioni sugli avvisi AL2 di sicurezza, che includono avvisi per le patch live del kernel, consulta Amazon Linux Security Center. Le patch live del kernel sono precedute da ALASLIVEPATCH. Centro di Sicurezza Amazon Linux potrebbe non elencare le patch live del kernel che risolvono i bug.

Puoi anche scoprire le patch live del kernel disponibili per ricevere avvisi e utilizzare la riga di comando. CVEs

Per elencare tutte le patch live del kernel disponibili per le consulenze

Utilizzare il seguente comando.

$ yum updateinfo list

Di seguito viene mostrato l'output di esempio.

Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motd
ALAS2LIVEPATCH-2020-002 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
ALAS2LIVEPATCH-2020-005 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done
Per elencare tutte le patch live del kernel disponibili per CVEs

Utilizza il seguente comando.

$ yum updateinfo list cves

Di seguito viene mostrato l'output di esempio.

Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motdamzn2-core/2/x86_64 | 2.4 kB 00:00:00 
CVE-2019-15918 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2019-20096 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2020-8648 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done

Applicazione delle patch live del kernel

Le patch live del kernel vengono applicate utilizzando il gestore di pacchetti yum nello stesso modo in cui si applicano aggiornamenti regolari. Il plugin yum per Kernel Live Patching gestisce le patch live del kernel disponibili per essere applicate.

Suggerimento

Si consiglia di aggiornare regolarmente il kernel utilizzando Kernel Live Patching per garantire che riceva correzioni di sicurezza specifiche, importanti e critiche fino al riavvio del sistema. Controlla anche se sono state rese disponibili correzioni aggiuntive al pacchetto kernel nativo che non possono essere distribuite come patch live e aggiorna e riavvia con l'aggiornamento del kernel in questi casi.

Puoi scegliere di applicare una patch live del kernel specifica o applicare qualsiasi patch live del kernel disponibile insieme ai normali aggiornamenti di sicurezza.

Per applicare una patch live del kernel specifica

  1. Ottenere la versione della patch live del kernel utilizzando uno dei comandi descritti in Visualizzazione delle patch live del kernel disponibili.

  2. Applica la kernel live patch per il tuo kernel. AL2 

    $ sudo yum install kernel-livepatch-kernel_version.x86_64

    Ad esempio, il seguente comando applica una patch live del kernel per la versione kernel AL2 5.10.102-99.473.

    $ sudo yum install kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
Per applicare eventuali patch live del kernel disponibili insieme ai normali aggiornamenti di sicurezza

Utilizzare il seguente comando.

$ sudo yum update --security

Omettere l'opzione --security per includere correzioni di bug.

Importante

  • La versione del kernel non viene aggiornata dopo l'applicazione delle patch live del kernel. La versione viene aggiornata alla nuova versione solo dopo il riavvio dell'istanza.

  • Un AL2 kernel riceve le patch live del kernel per un periodo di tre mesi. Dopo che è scaduto, non vengono rilasciate nuove patch live del kernel per tale versione del kernel. Per continuare a ricevere patch live del kernel dopo il periodo di tre mesi, è necessario riavviare l'istanza per passare alla nuova versione del kernel, che quindi continuerà a ricevere le patch live del kernel per i tre mesi successivi. Per controllare la finestra di supporto per la versione del kernel, eseguire yum kernel-livepatch supported.

Visualizzazione delle patch live del kernel applicate

Per visualizzare le patch live del kernel applicate

Utilizzare il seguente comando.

$ kpatch list

Il comando restituisce un elenco delle patch live del kernel dell'aggiornamento di sicurezza caricato e installato. Di seguito è riportato un output di esempio.

Loaded patch modules:
livepatch_cifs_lease_buffer_len [enabled]
livepatch_CVE_2019_20096 [enabled]
livepatch_CVE_2020_8648 [enabled]
	
Installed patch modules:
livepatch_cifs_lease_buffer_len (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2019_20096 (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2020_8648 (5.10.102-99.473.amzn2.x86_64)
Nota

Una singola patch live del kernel può includere e installare più patch live.

Disabilitazione di Kernel Live Patching

Se non è più necessario utilizzare Kernel Live Patching, puoi disabilitarla in qualsiasi momento.

Per disabilitare Kernel Live Patching

  1. Rimuovere i pacchetti RPM per le patch live del kernel applicate.

    $ sudo yum kernel-livepatch disable

  2. Disinstallare il plugin yum per Kernel Live Patching.

    $ sudo yum remove yum-plugin-kernel-livepatch

  3. Riavviare l’istanza.

    $ sudo reboot

Limitazioni

Kernel Live Patching presenta le seguenti restrizioni:

  • Durante l'applicazione di una patch live del kernel, non puoi eseguire l'ibernazione, usare strumenti di debug avanzati (come SystemTap kprobes e strumenti basati su EBPF) o accedere ai file di output ftrace usati dall'infrastruttura Kernel Live Patching.

  • Nota

    A causa di limitazioni tecniche, alcuni problemi non possono essere risolti con live patching. Per questo motivo, queste correzioni non verranno incluse nel pacchetto kernel live patch ma solo nell'aggiornamento del pacchetto kernel nativo. È possibile installare l'aggiornamento del pacchetto del kernel nativo e riavviare il sistema per attivare le patch come al solito.

Domande frequenti

Per domande frequenti su Kernel Live Patching for AL2, consulta le domande frequenti su Amazon Linux 2 Kernel Live Patching.