O Kernel Live Patching está ativado AL2 - Amazon Linux 2
Configurações e pré-requisitos compatíveisTrabalhar com o Kernel Live PatchingLimitaçõesPerguntas frequentes

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O Kernel Live Patching está ativado AL2

Importante

O Amazon Linux encerrará a aplicação ativa de patches para o AL2 Kernel 4.14 em 31/10/2025. Os clientes são incentivados a usar o kernel 5.10 como o kernel padrão para AL2 (consulte os kernels AL2 suportados) ou migrar para o AL2 023 com os kernels 6.1 e 6.12.

O Amazon Linux fornecerá patches ativos para o AL2 Kernel 5.10 até o final da vida útil de 2026-06-30 AL2 .

O Kernel Live Patching for AL2 permite que você aplique vulnerabilidades de segurança específicas e patches de bugs críticos a um kernel Linux em execução, sem reinicializações ou interrupções na execução de aplicativos. Isso permite que você se beneficie de uma maior disponibilidade de serviços e aplicativos, aplicando essas correções até que o sistema possa ser reinicializado.

Para obter informações sobre o Kernel Live Patching para AL2 023, consulte Kernel Live Patching em 023 AL2 no Guia do usuário do Amazon Linux 2023.

AWS lança dois tipos de patches ativos do kernel para AL2:

  • Security updates (Atualizações de segurança): contêm atualizações para vulnerabilidades e exposições comuns (CVEs) do Linux. Normalmente, essas atualizações são classificadas como importantes ou críticas de acordo com as classificações do Boletim de segurança do Amazon Linux. Geralmente, elas são mapeadas com uma pontuação 7 ou maior do Common Vulnerability Scoring System (CVSS – Sistema de pontuação de vulnerabilidades comuns). Em alguns casos, AWS pode fornecer atualizações antes que um CVE seja atribuído. Nesses casos, os patches podem aparecer como correções de erros.

  • Correções de bugs — Inclui correções para bugs críticos e problemas de estabilidade que não estão associados CVEs a.

AWS fornece patches ativos do kernel para uma versão do AL2 kernel por até 3 meses após seu lançamento. Após o período de 3 meses, é necessário fazer a atualização para uma versão posterior do kernel para continuar a receber patches ao vivo do kernel.

AL2 os patches ativos do kernel são disponibilizados como pacotes RPM assinados nos AL2 repositórios existentes. Os patches podem ser instalados em instâncias individuais usando fluxos de trabalho existentes do yum ou podem ser instalados em um grupo de instâncias gerenciadas usando o AWS Systems Manager.

O Kernel Live Patching on AL2 é fornecido sem custo adicional.

Configurações e pré-requisitos compatíveis

O Kernel Live Patching é compatível com EC2 instâncias da Amazon e máquinas virtuais locais em execução. AL2

Para usar o Kernel Live Patching ativado AL2, você deve usar:

  • Versão do kernel 4.14 ou 5.10 na arquitetura x86_64

  • Versão do kernel 5.10 na arquitetura ARM64

Requisitos de política

Para baixar pacotes dos repositórios Amazon Linux, a Amazon EC2 precisa acessar os buckets Amazon S3 de propriedade do serviço. Se estiver usando um endpoint da nuvem privada virtual (VPC) para o Amazon S3 em seu ambiente, será necessário garantir que sua política de endpoint da VPC permita acesso a esses buckets públicos.

A tabela descreve cada um dos buckets do Amazon S3 que EC2 talvez precisem ser acessados para o Kernel Live Patching.

ARN do bucket do S3 Description
arn:aws:s3: ::pacotes. region.amazonaws.com/*

Bucket do Amazon S3 contendo pacotes do Amazon Linux AMI

arn:aws:s3: ::repo. region.amazonaws.com/*

Bucket do Amazon S3 contendo repositórios do Amazon Linux AMI
arn:aws:s3: ::amazonlinux. region.amazonaws.com/*

Bucket do Amazon S3 contendo repositórios AL2

arn:aws:s3: ::amazonlinux-2-repos- /* region

Bucket do Amazon S3 contendo repositórios AL2

A política a seguir ilustra como restringir o acesso a identidades e recursos que pertencem à sua organização e conceder acesso aos buckets do Amazon S3 necessários para o Kernel Live Patching. regionSubstitua principal-org-id e resource-org-id pelos valores da sua organização.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "principal-org-id",
          "aws:ResourceOrgID": "resource-org-id"
        }
      }
    },
    {
      "Sid": "AllowAccessToAmazonLinuxAMIRepositories",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::packages.region.amazonaws.com/*",
        "arn:aws:s3:::repo.region.amazonaws.com/*",
        "arn:aws:s3:::amazonlinux.region.amazonaws.com/*",
        "arn:aws:s3:::amazonlinux-2-repos-region/*"
      ]
    }
  ]
}

Trabalhar com o Kernel Live Patching

Você pode ativar e usar o Kernel Live Patching em instâncias individuais usando a linha de comando na própria instância ou pode ativar e usar o Kernel Live Patching em um grupo de instâncias gerenciadas usando o Systems Manager. AWS

As seções a seguir explicam como habilitar e usar o Kernel Live Patching em instâncias individuais usando a linha de comando.

Para obter mais informações sobre como ativar e usar o Kernel Live Patching em um grupo de instâncias gerenciadas, consulte Usar o Kernel Live Patching em AL2 instâncias no Guia do usuário.AWS Systems Manager

Habilitar o Kernel Live Patching

O Kernel Live Patching está desativado por padrão em. AL2 Para usar a aplicação de patches ao vivo, é necessário instalar o plug-in yum para o Kernel Live Patching e habilitar a funcionalidade de aplicação de patches ao vivo.

Pré-requisitos

O Kernel Live Patching requer binutils. Se você não tiver binutils instalado, instale-o usando o seguinte comando:

$ sudo yum install binutils
Como habilitar o Kernel Live Patching

  1. Os patches ativos do kernel estão disponíveis para as seguintes versões do AL2 kernel:

    • Versão do kernel 4.14 ou 5.10 na arquitetura x86_64

    • Versão do kernel 5.10 na arquitetura ARM64

    Para verificar a versão do kernel, execute o comando a seguir.

    $ sudo yum list kernel

  2. Se você já tiver uma versão do kernel compatível, ignore esta etapa. Se você não tiver uma versão do kernel compatível, execute os comandos a seguir para atualizar o kernel para a versão mais recente e reinicializar a instância.

    $ sudo yum install -y kernel
    $ sudo reboot

  3. Instale o plug-in yum para o Kernel Live Patching.

    $ sudo yum install -y yum-plugin-kernel-livepatch

  4. Habilite o plug-in yum para o Kernel Live Patching.

    $ sudo yum kernel-livepatch enable -y

    Este comando também instala a versão mais recente de RPM do patch ao vivo do kernel a partir dos repositórios configurados.

  5. Para confirmar se o plug-in yum para a aplicação de patches ao vivo no kernel foi instalado com êxito, execute o comando a seguir.

    $ rpm -qa | grep kernel-livepatch

    Quando você habilita o Kernel Live Patching, um RPM de patch ao vivo do kernel vazio é aplicado automaticamente. Se o Kernel Live Patching tiver sido habilitado com êxito, este comando retornará uma lista que inclui o RPM do patch ao vivo do kernel vazio inicial. O seguinte é um exemplo de saída.

    yum-plugin-kernel-livepatch-1.0-0.11.amzn2.noarch
kernel-livepatch-5.10.102-99.473-1.0-0.amzn2.x86_64

  6. Instale o pacote kpatch.

    $ sudo yum install -y kpatch-runtime

  7. Atualize o serviço kpatch, caso tenha sido instalado anteriormente. 

    $ sudo yum update kpatch-runtime

  8. Inicie o serviço kpatch. Este serviço carrega todos os patches ao vivo do kernel durante ou após a inicialização. 

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

  9. Ative o tópico Kernel Live Patching na Biblioteca AL2 Extras. Este tópico contém os patches ao vivo do kernel.

    $ sudo amazon-linux-extras enable livepatch

Visualizar os patches ao vivo do kernel disponíveis

Os alertas de segurança do Amazon Linux são publicados no Centro de segurança do Amazon Linux. Para obter mais informações sobre os alertas de AL2 segurança, que incluem alertas para patches ativos do kernel, consulte o Amazon Linux Security Center. Os patches ao vivo do kernel são prefixados com ALASLIVEPATCH. O Centro de segurança do Amazon Linux pode não listar patches ao vivo do kernel que resolvam erros.

Você também pode descobrir os patches ativos do kernel disponíveis para recomendações e CVEs usar a linha de comando.

Como listar todos os patches ao vivo do kernel disponíveis para recomendações

Use o seguinte comando.

$ yum updateinfo list

Veja a seguir um exemplo de saída.

Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motd
ALAS2LIVEPATCH-2020-002 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
ALAS2LIVEPATCH-2020-005 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done
Para listar todos os patches ativos do kernel disponíveis para CVEs

Use o seguinte comando.

$ yum updateinfo list cves

Veja a seguir um exemplo de saída.

Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motdamzn2-core/2/x86_64 | 2.4 kB 00:00:00 
CVE-2019-15918 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2019-20096 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2020-8648 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done

Aplicar patches ao vivo do kernel

Aplique patches ao vivo do kernel usando o gerenciador de pacotes yum da mesma maneira que você aplicaria atualizações regulares. O plugin yum para Kernel Live Patching gerencia os patches ativos do kernel que estão disponíveis para serem aplicados.

dica

Recomendamos que você atualize seu kernel regularmente usando a aplicação de patches do kernel em tempo real para garantir que ele receba correções de segurança específicas importantes e críticas até que o sistema possa ser reinicializado. Verifique também se foram disponibilizadas correções adicionais para o pacote do kernel nativo que não podem ser implementadas como patches em tempo real e, nesses casos, atualize e reinicie o kernel.

É possível optar por aplicar um patch ao vivo do kernel específico, ou aplicar qualquer patch ao vivo do kernel disponível com suas atualizações de segurança regulares.

Como aplicar um patch ao vivo do kernel específico

  1. Obtenha a versão do patch ao vivo do kernel usando um dos comandos descritos em Visualizar os patches ao vivo do kernel disponíveis.

  2. Aplique o patch ativo do kernel para o seu AL2 kernel.

    $ sudo yum install kernel-livepatch-kernel_version.x86_64

    Por exemplo, o comando a seguir aplica um patch ao vivo do kernel para a versão AL2 do kernel 5.10.102-99.473.

    $ sudo yum install kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
Como aplicar patches ao vivo do kernel disponíveis com as atualizações de segurança regulares

Use o seguinte comando.

$ sudo yum update --security

Omita a opção --security para incluir correções de erros.

Importante

  • A versão do kernel não é atualizada após a aplicação de patches ao vivo do kernel. A versão só é atualizada para a nova versão depois da reinicialização da instância.

  • Um AL2 kernel recebe patches ativos do kernel por um período de três meses. Após o término desse período de três meses, nenhum novo patch ao vivo do kernel será lançado para essa versão do kernel. Para continuar a receber patches ao vivo do kernel após o período de três meses, é necessário reinicializar a instância de modo a migrar para a nova versão do kernel, que continuará recebendo patches ao vivo do kernel pelos próximos três meses. Para verificar a janela de suporte para a versão do kernel, execute yum kernel-livepatch supported.

Visualizar os patches ao vivo do kernel aplicados

Como visualizar os patches ao vivo do kernel aplicados

Use o seguinte comando.

$ kpatch list

O comando retornará uma lista dos patches ao vivo do kernel de atualização de segurança carregados e instalados. A seguir está um exemplo de saída.

Loaded patch modules:
livepatch_cifs_lease_buffer_len [enabled]
livepatch_CVE_2019_20096 [enabled]
livepatch_CVE_2020_8648 [enabled]
	
Installed patch modules:
livepatch_cifs_lease_buffer_len (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2019_20096 (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2020_8648 (5.10.102-99.473.amzn2.x86_64)
nota

Um único patch ao vivo do kernel pode incluir e instalar vários patches ao vivo.

Desabilitar o Kernel Live Patching

Se não precisar mais usar o Kernel Live Patching, é possível desabilitá-lo a qualquer momento.

Como desabilitar o Kernel Live Patching

  1. Remova os pacotes RPM para os patches ao vivo do kernel aplicados.

    $ sudo yum kernel-livepatch disable

  2. Desinstale o plug-in yum para o Kernel Live Patching.

    $ sudo yum remove yum-plugin-kernel-livepatch

  3. Reinicialize a instância.

    $ sudo reboot

Limitações

O Kernel Live Patching tem as seguintes limitações:

  • Ao aplicar um patch ativo do kernel, você não pode executar a hibernação, usar ferramentas avançadas de depuração (como SystemTap kprobes e ferramentas baseadas em EBPF) ou acessar os arquivos de saída do ftrace usados pela infraestrutura do Kernel Live Patching.

  • nota

    Devido a limitações técnicas, alguns problemas não podem ser resolvidos com a aplicação de patches em tempo real. Por causa disso, essas correções não serão distribuídas no pacote de patch do kernel em tempo real, mas somente na atualização do pacote nativo do kernel. Você pode instalar a atualização do pacote nativo do kernel e reinicializar o sistema para ativar os patches normalmente.

Perguntas frequentes

Para perguntas frequentes sobre o Kernel Live Patching for AL2, consulte as Perguntas frequentes sobre o Kernel Live Patching do Amazon Linux 2.