AL1 2016.03 版本備註 - Amazon Linux 1
升級到 AL1 2016.03 版2016.03.3 點版本2016.03.2 點版本2016.03.1 點版本新功能全新套件支援的執行個體類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AL1 2016.03 版本備註

警告

不再支援 Amazon Linux 1 (AL1,先前稱為 Amazon Linux AMI)。本指南僅供參考。

注意

AL1 不再是 Amazon Linux 的目前版本。AL2023 是 AL1 和 Amazon Linux 2 的後續版本。如需 AL2023 新功能的詳細資訊,請參閱《AL2023 使用者指南》中的比較 AL1 和 ALAL2023 一節,以及 AL2023 中的套件變更清單。

本主題包含 2016.03 版本的 AL1 版本備註更新。

升級到 AL1 2016.03 版

我們建議您從舊版升級至 AL1 2016.03 版。

雖然即使推出新的 AL1 版本,舊版 AMI 及其套件仍會繼續在 Amazon EC2 中啟動,但我們建議使用者遷移至最新版本的 AMI 並保持其系統更新。在某些情況下,在支援程序中,透過 尋求舊版 AL1 支援的客戶支援可能會被要求移至較新的版本。

若要從 2011.09 或更新版本升級至 AL1 2016.03 版,請執行 sudo yum update。升級完成後,請重新啟動執行個體。

請記住,AL1 儲存庫結構設定為提供持續的更新流程,可讓您從一個 AL1 版本滾動到下一個版本。如需詳細資訊,請參閱我們的lock-on-launch常見問答集,了解如何將執行個體 (新啟動或已執行的執行個體) 鎖定至特定版本的 AL1 儲存庫。

2016.03.3 點版本

已於 2016 年 6 月 28 日發行

我們已新增支援新推出的彈性網路轉接器 (ENA),這是 Amazon EC2 執行個體的新一代網路介面,包括 0.6.6 版的開放原始碼 ENA 驅動程式。

2016.03.2 點版本

已於 2016 年 6 月 9 日發行

我們已更新基本 AMI,以包含自 2016.03.1 點發行以來 儲存庫中可用的所有錯誤修正和安全性更新。

此點版本包含 4.4.11 核心。

Amazon Linux AMI 搭配 NVIDIA GRID GPU 驅動程式現在包含 NVIDIA 驅動程式 352.79 版和 CUDA 7.5.18。

2016.03.1 點版本

已於 2016 年 5 月 4 日發行

我們已更新基本 AMI,以包含自 2016.03 發行以來在儲存庫中提供的所有錯誤修正和安全性更新。

此點版本包含 4.4.8 核心。

我們已進行多項變更,以改善 AMI 重新啟動時間效能。

新功能

核心 4.4

過去的版本已追蹤 4.1 核心系列,在此版本中,我們已將核心移至 4.4 版,這是最新的長期穩定版本核心。

SSLv3 通訊協定預設為停用

根據預設,在 OpenSSL 中停用 SSLv3 通訊協定有利於 TLS。在組態中具有 SSL/TLS 通訊協定清單的伺服器應用程式,預設已更新為排除 SSLv3。

在此版本中,SSLv3 支援尚未完全從任何密碼編譯程式庫中移除,因此您可以在支援的情況下依application-by-application此決策。

個別應用程式的 SSL 相關變更如下所述:

Apache:mod_sslmod24_ssl

注意

本節適用於透過 httpdmod_ssl套件的 Apache 2.2,以及透過 httpd24mod24_ssl套件的 Apache 2.4。

Apache 中的 SSLv3 支援是由 /etc/httpd/conf.d/ssl.conf、 或 mod_sslmod24_ssl套件的一部分中的 SSLProtocolSSLProxyProtocol設定所控制。如果您正在執行新的安裝,或者您正在升級且尚未修改 ssl.conf,則會自動收到此變更。如果您要升級且已修改 ssl.conf,您可以將以下幾行新增至 /etc/httpd/conf.d/ssl.conf 並重新啟動httpd,以確保您使用的是 TLS。

範例 ssl.conf 範例
SSLProtocol all -SSLv3
SSLProxyProtocol all -SSLv3

如果您需要啟用 SSLv3,您可以在這些行-SSLv2-SSLv3將 變更為 並重新啟動 httpd

Apache:mod_nssmod24_nss

注意

本節適用於透過 httpdmod_nss套件的 Apache 2.2,以及透過 httpd24mod24_nss套件的 Apache 2.4。

中的 SSLv3 支援mod_nss類似於 mod_ssl(請參閱上一節),但相關的組態選項位於 NSSProtocol/etc/httpd/conf.d/nss.conf。在此版本中,SSLv3 預設已從此清單中移除。如果您正在執行新的安裝,或者如果您正在升級且尚未修改 nss.conf,則會自動收到此變更。如果您要升級且已修改 nss.conf,您可以將以下行新增至 /etc/httpd/conf.d/nss.conf並重新啟動httpd,以確保您使用的是 TLS。

範例 nss.conf 範例
NSSProtocol TLSv1.0,TLSv1.1,TLSv1.2

如果您需要啟用 SSLv3,您可以將 SSLv3 新增至該清單並重新啟動 httpd

nginx

中的 SSLv3 支援nginx是由 中的 ssl_protocols設定http和 組態中的server內容所控制。AL1 中 SSL 伺服器的預設 (註解) 組態現在包含僅指定 TLS 的ssl_protocols行,作為使用者設定新安全伺服器的建議。

如果您要升級 nginx 並希望確保只使用 TLS,請在組態的伺服器內容中包含以下行,然後重新啟動 nginx。

範例強制執行 TLS 的 nginx 組態範例
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

如果您需要啟用 SSLv3,您可以將 SSLv3 新增至此行並重新啟動 nginx。

lighttpd

如果未在lighttpd組態檔案中指定 SSLv3,則預設為停用。如果您需要啟用 SSLv3,您可以將以下行新增至 /etc/lighttpd/lighttpd.conf並重新啟動 lighttpd

範例在 中啟用 SSLv3 lighttpd
ssl.use-sslv3 = "enable"

tomcat

Tomcat 使用 JVM for TLS。AL1 中的所有 OpenJDK 版本都已停用 SSLv3 支援。

openldap 和 389

的新安裝openldap包含 TLSProtocolMin 3.1中的 參數slapd.conf,用於在 中填入初始組態cn=config

389 的新安裝包含 sslVersionMin: TLS1.0中的 參數cn=config

升級至此版本的使用者可以使用 變更相關參數ldapmodify

dovecot

dovecot 現在在 中包含以下行/etc/dovecot/conf.d/10-ssl.conf

範例 dovecot 組態程式碼片段停用 SSLv2 和 SSLv3
ssl_protocols = !SSLv2 !SSLv3

如果您剛安裝 dovecot,或者您正在升級且尚未修改 10-ssl.conf,則會自動收到此變更。如果您要升級dovecot且已修改 10-ssl.conf,您可以將上述行新增至 /etc/dovecot/conf.d/10-ssl.conf 並重新啟動dovecot,以確保您使用的是 TLS。

如果您需要啟用 SSLv3,!SSLv3請從該行移除 並重新啟動 dovecot

postfixsendmailpostgresqlmysqltomcat-nativehaproxycyrus-imapdstunnelvsftpdfetchmail

這些應用程式會從 OpenSSL 繼承其設定,且不會再使用 SSLv3。

DNS 解析重試速度更快

預設 DNS 解析選項是從具有 5 秒逾時的兩次重試,到具有 2 秒逾時的 5 次重試。

中 DNS 解析的重試設定glibc得更快,因為已知與 Amazon EC2 解析程式的距離很短。這是在 AMI 中設定,而不是在套件中設定,因此 不會意外地引入變更yum update

若要將相同的變更套用至現有執行個體,請將下列選項附加至適當的組態檔案:

  1. $ echo 'RES_OPTIONS="timeout:2 attempts:5"' | sudo tee -a /etc/sysconfig/network-scripts/ifcfg-eth0
  2. $ echo 'options timeout:2 attempts:5' | sudo tee -a /etc/resolv.conf

預設停用 NUMA 平衡

在此版本中,在核心中預設會停用 NUMA 平衡,以避免意外的效能降低。此變更只會影響支援 NUMA 的下列執行個體類型:

  • cr1.8xlarge

  • c3.8xlarge

  • r3.8xlarge

  • i2.8xlarge

  • c4.8xlarge

  • d2.8xlarge

  • g2.8xlarge

  • m4.10xlarge

如果您偏好先前的行為,您可以使用 sysctl 啟用 NUMA 平衡:

  1. $ sudo sysctl -w 'kernel.numa_balancing=1'
  2. $ echo 'kernel.numa_balancing = 1' | sudo tee /etc/sysctl.d/50-numa-balancing.conf

OpenLDAP 2.4.40

OpenLDAP 2.4.40 自我們的 2015.09 版以來,已加入預覽儲存庫。OpenLDAP 2.4.40 現在可在主要儲存庫中使用。除了許多錯誤修正和穩定性增強之外,OpenLDAP 現在還支援閃電記憶體映射資料庫 (LMDB) 格式。

Ruby 2.3

雖然 Ruby 2.0 仍是我們的預設 Ruby 解譯器,但我們已將ruby23套件新增至此 AL1 版本。核心 Rubygems 也已更新。

Rust 1.9 (預覽版)

我們會繼續追蹤 Rust 編譯器的上游版本,在此版本中,我們包含 1.7 版。您可以執行 安裝 Rust 編譯器sudo yum --enablerepo=amzn-preview install rust

更新 2016-06-08:Rust 1.9 現已可在預覽儲存庫中使用。

全新套件

我們的許多套件已重新同步至較新的上游版本。2016.03 中一些較熱門的套件包括:

  • aalib-1.4.0

  • aws-cli-1.10.33

  • clamav-0.99

  • docker-1.9.1

  • dovecot-2.2.10

  • elfutils-0.163

  • git-2.7.4

  • glibc-2.17-106.167

  • httpd24-2.4.18

  • iproute-4.4.0

  • java-1.7.0-openjdk-1.7.0.101

  • java-1.8.0-openjdk-1.8.0.91

  • kernel-4.4.11

  • lz4-r131

  • mariadb-connector-java-1.3.6

  • mysql55-5.5.46

  • mysql56-5.6.27

  • nmap-6.40

  • nginx-1.8.1

  • openldap-2.4.40

  • php55-5.5.33

  • php56-5.6.19

  • pngcrush-1.8.0

  • postgresql93-9.3.11

  • postgresql94-9.4.6

  • python-boto-2.39.0

  • python-botocore-1.4.23

  • ruby20-2.0.0.648

  • ruby21-2.1.8

  • ruby22-2.2.4

  • ruby23-2.3.0

  • samba-4.2.10

  • systemtap-3.0

  • tomcat7-7.0.68

  • tomcat8-8.0.32

支援的執行個體類型

此相容性資料表顯示在每個 Amazon EC2 執行個體類型上啟動的 2016.03 AMIs。