本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 亚马逊 Linux 内核
根据上游 Linux 社区的年度 LTS 内核,亚马逊 Linux 2023 (AL2023) 在每年第一季度发布新的长期支持 (LTS) 内核。每个新的 LTS 内核都带来了上游 Linux 内核的最新安全补丁、性能改进、硬件支持和功能。
## 内核生命周期
每个 AL2023 LTS 内核的支持期限为四年,分为两个阶段:
1. **全面支持(第 1-2 年)**— 内核通过定期在上游 LTS 内核上进行变基,获得所有 CVE 严重程度的修复。此阶段与上游 Linux 社区的 LTS 支持窗口保持一致。如果上游延长 LTS 支持窗口,Amazon Linux 也将效仿。
1. **维护支持(第 3-4 年)**— 在上游 LTS 支持期结束后,Amazon Linux 团队继续向后移植主要修复关键和重要漏洞 CVEs (CVSS 分数 7.0 及以上)以及已知被利用的漏洞。在此阶段不会向后移植低严重性和中等严重性 CVEs 。
四年后,内核寿命终止,不再接收安全更新。较旧的内核仍可通过存储库使用,您可以继续使用它们。你不应该指望有任何进一步的补丁或修复。我们建议在此日期之前升级到支持的内核。在内核终止支持日期之后,特定于内核的内容 AMIs 将不再更新。
下图显示了当前 Amazon Linux LTS 内核的支持时间表:
![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/linux/al2023/ug/images/kernel-lifecycle-chart.png)
## 内核更新
从 2026 年 6 月开始, AL2023 将每年更新默认内核。这[`al2023-ami-kernel-default`](ec2.md#launch-via-aws-cli)组 AMIs 将更新为最新的 LTS 内核,因此新启动的实例将推出新的内核版本。
正在运行的实例不会自动更新到新的内核。要在现有实例上升级内核,必须明确安装新的内核软件包并重新启动。有关更多信息,请参阅 [正在更新 Linux 内核 AL2023](kernel-update.md)。
我们强烈建议立即采用新内核,以便从最新的安全性和性能改进中受益。随着时间的推移,较旧的内核收到的安全修复越来越少,速度也更慢。将内核更新整合到您现有的测试和部署管道中,以便在部署到生产环境之前验证兼容性。
## 发行版之间的内核版本重叠
为了简化 Amazon Linux 发行版之间的迁移,当前和下一版 Amazon Linux 发行版中都将至少有一个内核版本可用。这使您可以先在现有发行版上升级到新内核,验证您的工作负载,然后迁移到新的发行版,因为那里有相同的内核版本。
## CVE 处理
AL2023 内核地址 CVEs 如下所示:
+ **关键漏洞和重要**漏洞 CVEs(CVSS 7.0 及更高版本)以及**已知被利用的漏洞**将反向移植到所有支持的内核中。
+ 在全面支持阶段,通过定期的上游 LTS 变基来解决@@ **低和中 CVEs**(CVSS 低于 7.0)的问题。在维护支持阶段, CVEs 它们不会向后移植。如果上游 LTS 变基未在 60 天内解决低或中等 CVE,则在 A [mazon Linux](https://alas.aws.amazon.com/) 安全中心将该问题标记为 “未计划修复”。
运行最新的可用内核是获取最新安全、性能和功能更新的最佳方式。
## 你应该做什么
1. **为您的应用程序实施持续集成 (CI)** — 在对生产设置进行任何更改之前,请确保在测试阶段对其进行了适当的验证。在验证中包括内核更新。
1. **保持最新内核** — 每款新的年度 LTS 内核一经推出,就立即予以采用。较新的内核可以更快地收到安全修复。使用该[`al2023-ami-kernel-default`](ec2.md#launch-via-aws-cli)系列 AMIs 即可自动使用 Amazon Linux 团队推荐的内核版本。
1. **自动更新**-使用诸如 S [AWS ystems Manager](https://aws.amazon.com/systems-manager/) 之类的工具来管理机群中的内核更新。
1. **计划重启**-每次内核更新都需要重新启动。在维护计划中加入重启窗口。