Kernel Live Patching auf 023 AL2 - Amazon Linux 2023
EinschränkungenUnterstützte Konfigurationen und VoraussetzungenArbeiten mit Kernel-Live-Patching

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kernel Live Patching auf 023 AL2

Sie können Kernel Live Patching für AL2 023 verwenden, um Sicherheitslücken und kritische Bug-Patches auf einen laufenden Linux-Kernel anzuwenden, ohne laufende Anwendungen neu zu starten oder zu unterbrechen. Darüber hinaus kann Kernel-Live-Patching dazu beitragen, die Verfügbarkeit Ihres Systems zu verbessern und gleichzeitig Ihre Infrastruktur sicher und auf dem neuesten Stand zu halten.

AWS veröffentlicht zwei Arten von Kernel-Live-Patches für 023: AL2

  • Sicherheitsupdates — Beinhaltet Updates für häufig auftretende Sicherheitslücken und Sicherheitslücken unter Linux ()CVE. Diese Updates werden typischerweise als wichtig oder kritisch eingestuft, wobei die Amazon Linux Security Advisory-Bewertungen verwendet werden. Sie entsprechen in der Regel einem Common Vulnerability Scoring System (CVSS) -Wert von 7 und höher. In einigen Fällen AWS können Updates bereitgestellt werden, bevor eine zugewiesen CVE wird. In diesen Fällen erscheinen die Patches möglicherweise als Bugfixes.

  • Fehlerkorrekturen — Beinhaltet Korrekturen für kritische Fehler und Stabilitätsprobleme, die nicht damit in Zusammenhang stehenCVEs.

AWS bietet Kernel-Live-Patches für eine AL2 023-Kernel-Version für bis zu 3 Monate nach ihrer Veröffentlichung. Nach Ablauf der Frist müssen Sie auf eine spätere Kernel-Version aktualisieren, um weiterhin Live-Kernel-Patches zu erhalten.

AL2023-Kernel-Live-Patches werden als signierte RPM Pakete in den bestehenden AL2 023-Repositorys zur Verfügung gestellt. Die Patches können mithilfe vorhandener DNFPaketmanager-Workflows auf einzelnen Instanzen installiert werden. Oder sie können mithilfe von AWS Systems Manager auf einer Gruppe verwalteter Instanzen installiert werden.

Kernel Live Patching auf AL2 023 wird ohne zusätzliche Kosten bereitgestellt.

Einschränkungen

Während der Anwendung eines Kernel-Live-Patches können folgende Aktionen nicht ausgeführt werden: System-Hibernation, erweiterte Debugging-Tools verwenden (z. B. SystemTap, kprobes und eBPF-basierte Tools), auf ftrace-Ausgabedateien zugreifen, die von der Kernel-Live-Patching-Infrastruktur genutzt werden.

Unterstützte Konfigurationen und Voraussetzungen

Kernel Live Patching wird auf EC2 Amazon-Instances und lokalen virtuellen Maschinen unterstützt, auf denen 023 ausgeführt wirdAL2.

Um Kernel Live Patching auf AL2 023 zu verwenden, müssen Sie Folgendes verwenden:

  • Eine 64-Bit x86_64- oder ARM64-Architektur

  • Kernel-Version 6.1

Richtlinienanforderungen

Um Pakete aus AL2 023 Repositorys herunterzuladen, EC2 benötigt Amazon Zugriff auf serviceeigene Amazon S3 S3-Buckets. Wenn Sie in Ihrer Umgebung einen Amazon Virtual Private Cloud (VPC) -Endpunkt für Amazon S3 verwenden, stellen Sie sicher, dass Ihre VPC Endpunktrichtlinie den Zugriff auf diese öffentlichen Buckets zulässt. In der folgenden Tabelle wird der Amazon S3 S3-Bucket beschrieben, auf den Amazon EC2 möglicherweise für Kernel Live Patching zugreifen muss.

S3-Bucket ARN Beschreibung

arn:aws:s3: ::al2023-repos-region-de612dc2/*

Amazon S3 S3-Bucket mit AL2 023 Repositorys

Arbeiten mit Kernel-Live-Patching

Sie können Kernel-Live-Patching für einzelne Instances über die Befehlszeile auf der Instance selbst aktivieren und anwenden. Alternativ können Sie Kernel-Live-Patching auf eine Gruppe verwalteter Instances mithilfe des AWS -Systems-Manager aktivieren und anwenden.

In den folgenden Abschnitten wird erläutert, wie Sie Kernel-Live-Patching auf einzelnen Instances über die Befehlszeile aktivieren und verwenden.

Weitere Informationen zur Aktivierung und Verwendung von Kernel Live Patching für eine Gruppe verwalteter Instances finden Sie unter Verwenden von Kernel Live Patching auf AL2 023-Instances im Benutzerhandbuch.AWS Systems Manager

Aktivieren des Kernel-Live-Patching

Kernel Live Patching ist auf 023 standardmäßig deaktiviert. AL2 Um Live-Patching verwenden zu können, müssen Sie das DNFPlugin für Kernel Live Patching installieren und die Live-Patching-Funktionalität aktivieren.

So aktivieren Sie das Kernel-Live-Patching:

  1. Kernel-Live-Patches sind für AL2 0.23 mit Kernel-Version verfügbar. 6.1 Um Ihre Kernel-Version zu überprüfen, führen Sie den folgenden Befehl aus.

    $ sudo dnf list kernel

  2. Installieren Sie das DNFPlugin für Kernel Live Patching.

    $ sudo dnf install -y kpatch-dnf

  3. Aktivieren Sie das DNFPlugin für Kernel Live Patching.

    $ sudo dnf kernel-livepatch -y auto

    Dieser Befehl installiert auch die neueste Version des Kernel-Live-Patches RPM aus den konfigurierten Repositorys.

  4. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob das DNFPlug-in für Kernel-Live-Patching erfolgreich installiert wurde.

    Wenn Sie Kernel Live Patching aktivieren, RPM wird automatisch ein leerer Kernel-Live-Patch angewendet. Wenn Kernel Live Patching erfolgreich aktiviert wurde, gibt dieser Befehl eine Liste zurück, die den ersten leeren Kernel-Live-Patch enthält. RPM

    $ sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch
kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64

  5. Installieren Sie das kpatch-Paket.

    $ sudo dnf install -y kpatch-runtime

  6. Aktualisieren Sie den kpatch-Service, falls er zuvor installiert wurde. 

    $ sudo dnf upgrade kpatch-runtime

  7. Starten Sie den kpatch-Service. Dieser Service lädt alle Live-Patches des Kernels bei der Initialisierung oder beim Booten. 

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

Anzeigen der verfügbaren Kernel-Live-Patches

Amazon Linux-Sicherheitswarnungen werden über das Amazon Linux-Sicherheitszentrum veröffentlich. Weitere Informationen zu den AL2 023-Sicherheitswarnungen, einschließlich Warnungen für Kernel-Live-Patches, finden Sie im Amazon Linux Security Center. Kernel-Live-Patches wird das Präfix ALASLIVEPATCH vorangestellt. Das Amazon Linux-Sicherheitszentrum listet möglicherweise keine Live-Kernel-Patches auf, die Fehler beheben.

Sie können sich auch die verfügbaren Kernel-Live-Patches ansehen, um Hinweise zu erhalten und die Befehlszeile zu CVEs verwenden.

So listen Sie alle verfügbaren Kernel-Live-Patches für Advisories auf:

Verwenden Sie den folgenden Befehl.

$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Um alle verfügbaren Kernel-Live-Patches aufzulisten für CVEs

Verwenden Sie den folgenden -Befehl.

$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Anwenden von Kernel-Live-Patches

Sie wenden Kernel-Live-Patches mit dem DNFPaketmanager auf die gleiche Weise an, wie Sie reguläre Updates anwenden. Das DNFPlugin für Kernel Live Patching verwaltet die Kernel-Live-Patches, die Sie anwenden, und macht einen Neustart überflüssig.

Tipp

Wir empfehlen, dass Sie Ihren Kernel regelmäßig mit Kernel-Live-Patching aktualisieren, um dessen Sicherheit und Aktualität sicherzustellen.

Sie können wählen, ob Sie einen bestimmten Kernel-Live-Patch oder alle verfügbaren Kernel-Live-Patches zusammen mit Ihren regelmäßigen Sicherheitsupdates anwenden wollen.

So wenden Sie einen bestimmten Kernel-Live-Patch an:

  1. Holen Sie sich die Kernel-Live-Patch-Version mit einem der in Anzeigen der verfügbaren Kernel-Live-Patches beschriebenen Befehle.

  2. Wenden Sie den Kernel-Live-Patch für Ihren AL2 023-Kernel an.

    $ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64

    Der folgende Befehl wendet beispielsweise einen Kernel-Live-Patch für die AL2 023-Kernelversion an 6.1.12-17.42

    $ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
So wenden Sie alle verfügbaren Kernel-Live-Patches zusammen mit Ihren regelmäßigen Sicherheitsupdates an:

Verwenden Sie den folgenden Befehl.

$ sudo dnf upgrade --security

Lassen Sie die Option --security weg, um Bugfixes einzuschließen.

Wichtig

  • Die Kernel-Version wird nach der Anwendung von Kernel-Live-Patches nicht aktualisiert. Die Version wird erst nach einem Neustart der Instance auf die neue Version aktualisiert.

  • Ein AL2 023-Kernel erhält Kernel-Live-Patches für 3 Monate. Nach Ablauf der drei Monate werden für diese Kernel-Version keine neuen Kernel-Live-Patches mehr veröffentlicht.

  • Wenn Sie nach 3 Monaten weiterhin Kernel-Live-Patches erhalten möchten, müssen Sie die Instance neu starten, um auf die neue Kernel-Version zu aktualisieren. Die Instance wird nach dem Update wieder für 3 Monate Kernel-Live-Patches erhalten.

  • Führen Sie den folgenden Befehl aus, um das verbleibende Zeitfenster Ihrer Kernel-Version zu prüfen:

    $ sudo dnf kernel-livepatch support

Anzeigen der angewendeten Kernel-Live-Patches

So zeigen Sie die angewendeten Kernel-Live-Patches an:

Verwenden Sie den folgenden Befehl.

$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

Der Befehl gibt eine Liste der geladenen und installierten Sicherheitsupdate-Kernel-Live-Patches zurück. Es folgt eine Beispielausgabe.

Anmerkung

Ein einziger Kernel-Live-Patch kann mehrere Live-Patches enthalten und installieren.

Deaktivieren des Kernel-Live-Patching

Wenn Sie das Kernel-Live-Patching nicht mehr verwenden möchten, können Sie es jederzeit deaktivieren.

  • Deaktivieren Sie die Verwendung von livepatches:

    1. Das Plugin deaktivieren: 

      $ sudo dnf kernel-livepatch manual

    2. Den kpatch-Dienst deaktivieren: 

      $ sudo systemctl disable --now kpatch.service

  • Die livepatch-Tools vollständig entfernen:

    1. Das Plugin entfernen:

      $ sudo dnf remove kpatch-dnf

    2. kpatch-runtime entfernen:

      $ sudo dnf remove kpatch-runtime

    3. Alle installierten livepatches entfernen:

      $ sudo dnf remove kernel-livepatch\*