As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# O que é o Amazon Linux 2023?
O Amazon Linux 2023 (AL2023) é a próxima geração do Amazon Linux da Amazon Web Services (AWS). Com o AL2023, você pode desenvolver e executar aplicações em nuvem e corporativas em um ambiente de runtime seguro, estável e de alto desempenho. Você também obtém um ambiente de aplicação que oferece suporte a longo prazo com acesso às mais recentes inovações no Linux. O AL2023 é fornecido sem nenhum custo adicional.
O AL2023 é o sucessor do Amazon Linux 2 (AL2). Para obter informações sobre as diferenças entre o AL2023 e o AL2, consulte [Comparando AL2 e AL2 023](compare-with-al2.md) e [Package changes in AL2023](https://docs.aws.amazon.com/linux/al2023/release-notes/compare-packages.html).
**Topics**
+ [Cadência de lançamento](release-cadence.md)
+ [Nomeação e controle de versão](naming-and-versioning.md)
+ [Otimizações operacionais e de desempenho](performance-optimizations.md)
+ [Relacionamento com o Fedora](relationship-to-fedora.md)
+ [cloud-init personalizado](cloud-init.md)
+ [Atualizações e recursos de segurança](security-features.md)
+ [Serviço de redes](networking-service.md)
+ [Pacotes principais do conjunto de ferramentas glibc, gcc, binutils](core-glibc.md)
+ [Ferramenta de gerenciamento de pacotes](package-management.md)
+ [Configuração do servidor SSH padrão](ssh-host-keys-disabled.md)
# Cadência de lançamento
O Amazon Linux 2023 (AL2023) foi lançado em março de 2023 e receberá suporte até 30 de junho de 2029. Há duas fases de suporte:
+ **Suporte padrão**: durante esta fase, a versão recebe atualizações trimestrais de versões secundárias. A fase de suporte padrão termina em 30 de junho de 2027.
+ **Manutenção**: durante esta fase, a versão recebe somente atualizações de segurança e correções de bugs críticos. Essas atualizações são publicadas assim que estão disponíveis. A fase de manutenção termina em 30 de junho de 2029.
## Liberações principais e secundárias
A cada lançamento do Amazon Linux (versão principal, versão secundária ou lançamento de segurança), lançamos uma nova imagem de máquina da Amazon (AMI) Linux.
+ **Versão principal**: inclui novos recursos e melhorias em segurança e desempenho em toda a pilha. As melhorias podem incluir grandes mudanças no kernel, no conjunto de ferramentas, Glib C, OpenSSL e em quaisquer outras bibliotecas e utilitários do sistema. Os principais lançamentos do Amazon Linux são baseados em parte na versão atual da distribuição upstream do Fedora Linux. AWS pode adicionar ou substituir pacotes específicos de outros upstreams que não sejam do Fedora.
+ **Liberação de uma versão secundária**: uma atualização trimestral que inclui atualizações de segurança, correções de bugs e novos recursos e pacotes. Cada versão secundária é uma lista cumulativa de atualizações que inclui correções de segurança e bugs, além de novos recursos e pacotes. Essas versões podem incluir os tempos de execução de idiomas mais recentes, como PHP. Eles também podem incluir outros pacotes de software populares, como Ansible e Docker.
## Consumindo novos lançamentos
As atualizações são fornecidas por meio de uma combinação de novas versões de imagem de máquina da Amazon (AMI) e dos novos repositórios correspondentes. Por padrão, uma nova AMI e o repositório para o qual ela aponta são acoplados. No entanto, você pode direcionar suas instâncias do Amazon EC2 em execução para versões mais recentes do repositório ao longo do tempo para aplicar atualizações nas instâncias em execução. Você também pode atualizar lançando novas instâncias das AMIs mais recentes.
## Política de suporte de longo prazo
O Amazon Linux fornece atualizações para todos os seus pacotes e mantém a compatibilidade em uma versão principal para seus aplicativos criados no Amazon Linux. Os pacotes principais, como a biblioteca glibc, OpenSSL, OpenSSH e o gerenciador de pacotes DNF, recebem suporte durante a vida útil da versão principal do AL2023. Pacotes que não fazem parte dos pacotes principais são compatíveis com base em suas fontes upstream específicas. Você pode ver o status de suporte específico e as datas de pacotes individuais executando o comando a seguir.
```
$ sudo dnf supportinfo --pkg packagename
```
Você pode obter informações sobre todos os pacotes atualmente instalados executando o comando a seguir.
```
$ sudo dnf supportinfo --show installed
```
A lista completa dos pacotes principais é finalizada durante a pré-visualização. Se você quiser ver mais pacotes incluídos como pacotes principais, conte-nos. Avaliamos à medida que coletamos feedback. O feedback sobre o AL2023 pode ser fornecido por meio de seu representante AWS designado ou registrando um problema no repositório [amazon-linux-2023](https://github.com/amazonlinux/amazon-linux-2023/issues) no GitHub.
# Nomeação e controle de versão
O AL2023 fornece um lançamento secundário a cada três meses durante os dois anos de suporte padrão. Cada versão é identificada por um incremento de 0 a N. 0 se refere à versão principal original dessa iteração. Todos os lançamentos serão chamados de Amazon Linux 2023. Quando a próxima versão do Amazon Linux for lançada, o AL2023 entrará no suporte estendido e receberá atualizações de segurança e correções de bugs críticos.
Por exemplo, versões menores do AL2023 têm o seguinte formato:
+ `2023.0.20230301`
+ `2023.1.20230601`
+ `2023.2.20230901`
As AMIs AL2023 correspondentes têm o seguinte formato:
+ `al2023-ami-2023.0.20230301.0-kernel-6.1-x86_64`
+ `al2023-ami-2023.1.20230601.0-kernel-6.1-x86_64`
+ `al2023-ami-2023.2.20230901.0-kernel-6.1-x86_64`
Em uma versão secundária específica, os lançamentos regulares da AMI ocorrem com um timestamp da data do lançamento da AMI.
+ `al2023-ami-2023.0.20230301.0-kernel-6.1-x86_64`
+ `al2023-ami-2023.0.20230410.0-kernel-6.1-x86_64`
+ `al2023-ami-2023.0.20230520.0-kernel-6.1-x86_64`
O método recomendado para identificar uma instância do AL2 ou do AL2023 começa com a leitura da string de enumeração de plataforma comum (CPE) de `/etc/system-release-cpe`. Em seguida, divida a string em seus campos. Por fim, leia os valores da plataforma e da versão.
O AL2023 também introduz novos arquivos para identificação da plataforma:
+ `/etc/amazon-linux-release` symlinks para `/etc/system-release`
+ `/etc/amazon-linux-release-cpe` symlinks para `/etc/system-release-cpe`
Esses dois arquivos indicam que uma instância é Amazon Linux. Não é necessário ler um arquivo ou dividir a string em campos, a menos que você queira saber os valores específicos da plataforma e da versão.
# Otimizações operacionais e de desempenho
**Kernel Amazon Linux 6.1**
+ O AL2023 usa os drivers mais recentes para dispositivos Adaptador de Rede Elástica (ENA) e Elastic Fabric Adapter (EFA). O AL2023 enfoca backports de funcionalidade e desempenho para hardware na infraestrutura do Amazon EC2.
+ O kernel live patching está disponível para os tipos de instância `x86_64` e `aarch64`. Isso reduz a necessidade de reinicializar com frequência.
+ Todas as configurações de compilação e runtime do kernel incluem muitas das mesmas otimizações operacionais e de desempenho do AL2.
**Seleção do conjunto de ferramentas básico e sinalizadores de construção padrão**
+ Os pacotes do AL2023 são desenvolvidos com otimizações de compilador (`-O2`) habilitadas por padrão.
+ Os pacotes AL2023 são criados exigindo `x86-64v2` para sistemas `x86-64` (`-march=x86-64-v2`) e Graviton 2 ou superior para `aarch64` (`-march=armv8.2-a+crypto -mtune=neoverse-n1`).
+ Os pacotes AL2023 são criados com a vetorização automática ativada (`-ftree-vectorize`).
+ Os pacotes AL2023 são criados com o Link Time Optimization (LTO) ativado.
+ O AL2023 usa as versões atualizadas de Rust, Clang/LLVM e Go.
**Seleção e versões de pacotes**
+ Alguns backports para os principais componentes do sistema incluem várias melhorias de desempenho para execução na infraestrutura do Amazon EC2, especialmente nas instâncias do Graviton.
+ O AL2023 é integrado com vários Serviços da AWS e recursos. Isso inclui a AWS CLI, SSM Agent, o Amazon Kinesis Agent e o CloudFormation.
+ O AL2023 usa o Amazon Corretto como Java Development Kit (JDK).
+ O AL2023 fornece mecanismos de banco de dados e atualizações de tempo de execução da linguagem de programação para versões mais recentes à medida que são lançadas por projetos upstream. Os tempos de execução da linguagem de programação com novas versões são adicionados quando são lançados.
**Implantação em um ambiente de nuvem**
+ A AMI básica do AL2023 e as imagens de contêiner são atualizadas com frequência para oferecer suporte à substituição de instâncias de patches.
+ As atualizações do kernel estão incluídas nas atualizações da AMI AL2023. Isso significa que você não precisa usar comandos como `yum update` e `reboot` para atualizar seu kernel.
+ Além da AMI AL2023 padrão, uma AMI mínima e uma imagem de contêiner também estão disponíveis. Escolha a AMI mínima para executar um ambiente com o número mínimo de pacotes necessários para executar seu serviço.
+ Por padrão, as AMIs e os contêineres do AL2023 estão bloqueados em uma versão específica dos repositórios de pacotes. Não há atualização automática quando eles são lançados. Isso significa que você está sempre no controle de quando ingere qualquer atualização de pacote. Você sempre pode testar em um ambiente beta/gama antes de começar a produção. Se houver algum problema, você pode usar o caminho de reversão pré-validado.
# Relacionamento com o Fedora
O AL2023 mantém seus próprios ciclos de vida de lançamento e suporte independentes do Fedora. O AL2023 fornece versões atualizadas de software de código aberto, uma variedade maior de pacotes e lançamentos frequentes. Isso preserva os conhecidos sistemas operacionais baseados em RPM.
A versão Generally Available (GA) do AL2023 não é diretamente comparável a nenhuma versão específica do Fedora. A versão AL2023 GA inclui componentes do Fedora 34, 35 e 36. Alguns dos componentes são iguais aos do Fedora e alguns são modificados. Outros componentes se assemelham mais aos componentes do CentOS Stream 9 ou foram desenvolvidos de forma independente. O kernel Amazon Linux é originado das opções de suporte de longo prazo que estão no kernel.org, escolhidas independentemente do Fedora.
# cloud-init personalizado
O pacote cloud-init é uma aplicação de código aberto que inicializa imagens Linux em um ambiente de computação em nuvem. Para obter mais informações, consulte a [documentação de cloud-init](https://cloudinit.readthedocs.io/en/22.2.2/).
O AL2023 contém uma versão personalizada do cloud-init. Com cloud-init, você pode especificar o que ocorre em sua instância no momento da inicialização.
Ao inicializar uma instância, você poderá usar campos de dados de usuários para cloud-init. Isso significa que você pode usar imagens comuns da Amazon Machine (AMIS) para muitos casos de uso e configurá-las dinamicamente quando você inicia uma instância. O AL2023 também usa cloud-init para configurar a conta `ec2-user`.
AL2023 usa as ações cloud-init em `/etc/cloud/cloud.cfg.d` e `/etc/cloud/cloud.cfg`. Você pode criar seus próprios arquivos de ações cloud-init no diretório `/etc/cloud/cloud.cfg.d`. Cloud-init lê todos os arquivos desse diretório em ordem lexicográfica. Arquivos mais recentes substituem arquivos mais antigos. Quando cloud-init inicia uma instância, o pacote cloud-init executa as seguintes tarefas de configuração:
+ Definir o local padrão
+ Define o nome do host
+ Analisa e manipula dados do usuário
+ Gerenciar chaves SSH privadas de host.
+ Adicionar as chaves SSH públicas de um usuário ao `.ssh/authorized_keys` para facilitar login e administração.
+ Prepara os repositórios para gerenciamento de pacotes.
+ Lidar com as ações de pacotes definidas nos dados do usuário.
+ Executa scripts de usuário que estão nos dados do usuário
+ Monta volumes de armazenamento de instâncias, se aplicável
+ Por padrão, se o volume de armazenamento de instâncias `ephemeral0` estiver presente e contiver um sistema de arquivos válido, o volume de armazenamento de instâncias será montado em `/media/ephemeral0`. Caso contrário, ele não está montado.
+ Por padrão, para os tipos de instância `m1.small` e `c1.medium`, todos os volumes de troca associados à instância são montados.
+ É possível substituir a montagem do volume de armazenamento de instância padrão pela a seguinte diretriz de cloud-init:
```
#cloud-config
mounts:
- [ ephemeral0 ]
```
Para obter mais informações sobre o controle sobre montagens, consulte [Montagens](https://cloudinit.readthedocs.io/en/22.2.2/topics/modules.html#mounts) na documentação do cloud-init.
+ Quando uma instância é executada, os volumes de armazenamento de instâncias compatíveis com TRIM não são formatados. Antes de montar volumes de armazenamento de instâncias, você deve particionar e formatar volumes de armazenamento de instâncias.
Para obter mais informações, consulte o [Suporte a TRIM do volume de armazenamento de instâncias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html#InstanceStoreTrimSupport) no *Guia do usuário do Amazon EC2*.
+ Ao iniciar suas instâncias, você pode usar o módulo `disk_setup` para particionar e formatar os volumes do seu armazenamento de instância.
Para obter mais informações, consulte [Configurações de Disco](https://cloudinit.readthedocs.io/en/22.2.2/topics/modules.html#disk-setup) na documentação do cloud-init.
Para obter informações sobre como usar o cloud-init com a SELinux, consulte [Use cloud-init para ativar o modo `enforcing`.](enforcing-mode.md#cloud-init-enforcing).
Para obter informações sobre formatos de dados do usuário cloud-init, consulte [Formatos de dados do usuário](https://cloudinit.readthedocs.io/en/22.2.2/topics/format.html#format) na documentação cloud-init.
# Atualizações e recursos de segurança
O AL2023 fornece muitas atualizações e soluções de segurança.
**Topics**
+ [Gerenciar atualizações](#manage-updates)
+ [Segurança na nuvem](#cloud-security)
+ [Modos SELinux](#setting-selinux)
+ [Programa de conformidade](#compliance-program)
+ [Padrão do servidor SSH](#ssh-server-default)
+ [Principais características do OpenSSL 3](#openssl-3)
## Gerenciar atualizações
Aplique atualizações de segurança usando DNF e as versões de repositórios. Para obter mais informações, consulte [Gerencie atualizações de pacotes e sistemas operacionais no AL2023](managing-repos-os-updates.md).
## Segurança na nuvem
A segurança é uma responsabilidade compartilhada entre a AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança da nuvem e segurança na nuvem. Para obter mais informações, consulte [Segurança e compatibilidade no Amazon Linux 2023](security.md).
## Modos SELinux
Por padrão, o SELinux está habilitado e configurado para o modo permissivo no AL2023. No modo permissive, as negações de permissão são registradas, mas não aplicadas.
As políticas do SELinux definem permissões para usuários, processos, programas, arquivos e dispositivos. Com o SELinux, é possível escolher uma das duas políticas. As políticas são direcionadas ou de segurança multinível (MLS).
Para obter mais informações sobre os modos e políticas do SELinux, consulte [Configurando modos do SELinux para o AL2023](selinux-modes.md) e o [SELinux Project Wiki](http://selinuxproject.org/page/Main_Page).
## Programa de conformidade
Auditores independentes avaliam a segurança e a conformidade da AL2023 junto com vários programas de conformidade da AWS.
## Padrão do servidor SSH
O AL2023 inclui o OpenSSH 8.7. Por padrão, o OpenSSH 8.7 `ssh-rsa` desativa o algoritmo de troca de chaves. Para obter mais informações, consulte [Configuração do servidor SSH padrão](ssh-host-keys-disabled.md).
## Principais características do OpenSSL 3
+ O Certificate Management Protocol (CMP, RFC 4210) inclui CRMF (RFC 4211) e transferência HTTP (RFC 6712).
+ Um cliente HTTPS ou HTTP em libcrypto é compatível com as ações GET e POST, redirecionamento, conteúdo simples e ASN.1 codificado, proxies e tempos limite.
+ O EVP\$1KDF funciona com funções de derivação de chaves.
+ As EVP\$1MAC API obras com MACs.
+ Suporte TLS ao Linux Kernel.
Para obter mais informações, consulte o [Guia de migração do OpenSSL](https://www.openssl.org/docs/man3.0/man7/migration_guide.html).
# Serviço de redes
O projeto de código aberto `systemd-networkd` está amplamente disponível nas distribuições Linux modernas. O projeto usa uma linguagem de configuração declarativa semelhante ao resto da estrutura `systemd`. Seus principais tipos de arquivo de configuração são os arquivos `.network` e `.link`.
O `amazon-ec2-net-utils` pacote gera configurações específicas da interface no diretório `/run/systemd/network`. Essas configurações habilitam redes IPv4 e IPv6 em interfaces quando elas estão conectadas a uma instância. Essas configurações também instalam regras de roteamento de políticas que ajudam a garantir que o tráfego de origem local seja roteado para a rede por meio da interface de rede da instância correspondente. Essas regras garantem que o tráfego correto seja roteado pela interface de rede elástica (ENI) por meio dos endereços ou prefixos associados. Para obter mais informações sobre o uso da ENI, consulte [Using ENI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) no *Guia do usuário do Amazon EC2*.
Você pode personalizar esse comportamento de rede colocando um arquivo de configuração personalizado no diretório `/etc/systemd/network` para substituir as configurações padrão contidas em `/run/systemd/network`.
A documentação do [systemd.network](https://www.freedesktop.org/software/systemd/man/systemd.network.html) descreve como o serviço `systemd-networkd` determina a configuração que se aplica a uma interface específica. Ele também gera nomes alternativos, conhecidos como altnames, para as interfaces compatíveis com ENI para refletir as propriedades de vários recursos da AWS. Essas propriedades de interface compatíveis com ENI são o campo `ENI ID` e `DeviceIndex` do anexo ENI. Você pode se referir a essas interfaces usando suas propriedades ao usar várias ferramentas, como o comando `ip`.
Os nomes de interface das instâncias do AL2023 são gerados usando o esquema de nomenclatura de slots de `systemd`. Para obter mais informações, consulte [esquema nomenclatura do systemd.net](https://www.freedesktop.org/software/systemd/man/systemd.net-naming-scheme.html).
Além disso, o AL2023 usa o algoritmo de agendamento de transmissão de rede de gerenciamento ativo de filas `fq_codel` por padrão. Para mais informações, consulte a [visão geral do CoDel](https://www.bufferbloat.net/projects/codel/wiki/).
# Pacotes principais do conjunto de ferramentas glibc, gcc, binutils
Um subconjunto de pacotes no Amazon Linux é designado como pacotes principais da cadeia de ferramentas. Como parte principal AL2023, os pacotes principais recebem cinco anos de suporte. Podemos alterar a versão de um pacote, mas o suporte de longo prazo se aplica ao pacote incluído na versão do Amazon Linux.
Esses três pacotes principais fornecem uma cadeia de ferramentas do sistema que é usada para criar a maioria dos softwares na distribuição Amazon Linux.
| Pacote | Definição | Finalidade |
| --- | --- | --- |
| glibc 2.34 | Biblioteca C do sistema | Usado pela maioria dos programas binários que fornecem funções padrão e pela interface entre os programas e o kernel. |
| gcc 11.2 | Suíte de compiladores gcc | Compila C, C\$1\$1, Fortran. |
| binutils 2.35 | Assembler e vinculador, além de outras ferramentas binárias | Manipula ou inspeciona programas binários. |
Recomendamos que atualizações de bibliotecas glibc sejam reinicializadas após atualizações de bibliotecas. Para atualizações de pacotes que controlam serviços, pode ser suficiente reiniciar os serviços para obter as atualizações. No entanto, a reinicialização do sistema garante que todas as atualizações anteriores de pacotes e bibliotecas sejam concluídas.
# Ferramenta de gerenciamento de pacotes
A ferramenta padrão de gerenciamento de pacotes de software no AL2023 é DNF. O DNF é o sucessor de YUM, a ferramenta de gerenciamento de pacotes no AL2.
DNF é semelhante ao YUM em seu uso. Muitos comandos e opções de comandos DNF são iguais aos comandos YUM. Em uma interface de linha de comandos (CLI), na maioria dos casos `dnf` substitui `yum`.
Por exemplo, para os seguintes comandos `yum` do AL2:
```
$ sudo yum install packagename
$ sudo yum search packagename
$ sudo yum remove packagename
```
No AL2023, eles se tornam os seguintes comandos:
```
$ sudo dnf install packagename
$ sudo dnf search packagename
$ sudo dnf remove packagename
```
No AL2023, o comando `yum` ainda está disponível, mas como um ponteiro para o comando `dnf`. Portanto, quando o comando `yum` é usado no shell ou em um script, todos os comandos e opções são iguais ao DNF CLI. Para obter mais informações sobre as diferenças entre o YUM CLI e o DNF CLI, consulte [Alterações em DNF CLI comparado com YUM](https://dnf.readthedocs.io/en/latest/cli_vs_yum.html).
Para obter uma referência completa dos comandos e opções do comando `dnf`, consulte a página do manual `man dnf`. Para obter mais informações, consulte [DNF Command Reference](https://dnf.readthedocs.io/en/latest/command_ref.html).
# Configuração do servidor SSH padrão
Se você tem clientes SSH de vários anos atrás, talvez veja um erro ao se conectar a uma instância. Se o erro indicar que não foi encontrado nenhum tipo de chave de host correspondente, atualize sua chave de host SSH para solucionar esse problema.
**Desativação padrão de assinaturas `ssh-rsa`**
O AL2023 inclui uma configuração padrão que desativa o algoritmo de chave de host `ssh-rsa` legado e gera um conjunto reduzido de chaves de host. Os clientes devem oferecer suporte ao algoritmo da chave de host `ssh-ed25519` ou `ecdsa-sha2-nistp256`ao algoritmo da chave do host.
A configuração padrão aceita qualquer um desses algoritmos de troca de chaves:
+ `curve25519-sha256`
+ `curve25519-sha256@libssh.org`
+ `ecdh-sha2-nistp256`
+ `ecdh-sha2-nistp384`
+ `ecdh-sha2-nistp521`
+ `diffie-hellman-group-exchange-sha256`
+ `diffie-hellman-group14-sha256`
+ `diffie-hellman-group16-sha512`
+ `diffie-hellman-group18-sha512`
Por padrão, o AL2023 gera chaves de hospedagem `ed25519` e `ECDSA`. Os clientes oferecem suporte ao algoritmo da chave de host `ssh-ed25519` ou `ecdsa-sha2-nistp256`. Ao se conectar por SSH a uma instância, você deve usar um cliente que ofereça suporte a um algoritmo compatível, como `ssh-ed25519` ou `ecdsa-sha2-nistp256`. Se você precisar usar outros tipos de chave, substitua a lista de chaves geradas por um fragmento de `cloud-config` nos dados do usuário.
No exemplo a seguir, `cloud-config` gera uma chave de host `rsa` com as chaves `ecdsa` e `ed25519`.
```
#cloud-config
ssh_genkeytypes:
- ed25519
- ecdsa
- rsa
```
Se você usa um par de chaves RSA para autenticação de chave pública, seu cliente SSH deve oferecer suporte a uma assinatura `rsa-sha2-256` ou `rsa-sha2-512`. Se você estiver usando um cliente incompatível e não conseguir fazer o upgrade, reative o suporte de `ssh-rsa` na sua instância. Para reabilitar o suporte a `ssh-rsa`, ative a política de criptografia do sistema `LEGACY` usando os seguintes comandos.
```
$ sudo dnf install crypto-policies-scripts
$ sudo update-crypto-policies --set LEGACY
```
Para obter mais informações sobre o gerenciamento de chaves de host, consulte [Amazon Linux Host keys](https://cloudinit.readthedocs.io/en/22.2.2/topics/modules.html#host-keys).