Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Kernel Live Patching auf 023 AL2

PDF
RSS
Fokusmodus
Kernel Live Patching auf 023 AL2 - Amazon Linux 2023
EinschränkungenUnterstützte Konfigurationen und VoraussetzungenArbeiten mit Kernel-Live-Patching

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können Kernel Live Patching für AL2 023 verwenden, um bestimmte Sicherheitslücken und kritische Bug-Patches auf einen laufenden Linux-Kernel anzuwenden, ohne laufende Anwendungen neu zu starten oder zu unterbrechen. Darüber hinaus kann Kernel Live Patching dazu beitragen, die Verfügbarkeit Ihrer Anwendung zu verbessern und gleichzeitig diese Fixes anzuwenden, bis das System neu gestartet werden kann.

AWS veröffentlicht zwei Arten von Kernel-Live-Patches für 023: AL2

  • Sicherheitsupdates – Enthält Updates für die häufigsten Schwachstellen und Risiken von Linux (Common Vulnerabilities and Exposures, CVE). Diese Updates werden typischerweise als wichtig oder kritisch eingestuft, wobei die Amazon Linux Security Advisory-Bewertungen verwendet werden. Sie entsprechen im Allgemeinen einem CVSS-Score (Common Vulnerability Scoring System) von 7 und höher. In einigen Fällen AWS kann es Updates bereitstellen, bevor ein CVE zugewiesen wird. In diesen Fällen erscheinen die Patches möglicherweise als Bugfixes.

  • Fehlerkorrekturen — Beinhaltet Korrekturen für kritische Fehler und Stabilitätsprobleme, die nicht damit CVEs in Zusammenhang stehen.

AWS bietet Kernel-Live-Patches für eine AL2 023-Kernel-Version für bis zu 3 Monate nach ihrer Veröffentlichung. Nach Ablauf der Frist müssen Sie auf eine spätere Kernel-Version aktualisieren, um weiterhin Live-Kernel-Patches zu erhalten.

AL2023-Kernel-Live-Patches werden als signierte RPM-Pakete in den vorhandenen AL2 023-Repositorys zur Verfügung gestellt. Die Patches können mithilfe vorhandener DNF-Paketmanager-Workflows auf einzelnen Instances installiert werden. Oder sie können mithilfe von AWS Systems Manager auf einer Gruppe verwalteter Instanzen installiert werden.

Kernel Live Patching auf AL2 023 wird ohne zusätzliche Kosten bereitgestellt.

Einschränkungen

Während der Anwendung eines Kernel-Live-Patches können folgende Aktionen nicht ausgeführt werden: System-Hibernation, erweiterte Debugging-Tools verwenden (z. B. SystemTap, kprobes und eBPF-basierte Tools), auf ftrace-Ausgabedateien zugreifen, die von der Kernel-Live-Patching-Infrastruktur genutzt werden.

Anmerkung

Aufgrund technischer Einschränkungen können einige Probleme nicht mit Live-Patching behoben werden. Aus diesem Grund werden diese Fixes nicht im Kernel-Live-Patch-Paket, sondern nur im nativen Kernel-Paket-Update mitgeliefert. Sie können das native Kernel-Paket installieren und das System aktualisieren und neu starten, um die Patches wie gewohnt zu aktivieren.

Unterstützte Konfigurationen und Voraussetzungen

Kernel Live Patching wird auf EC2 Amazon-Instances und lokalen virtuellen Maschinen unterstützt, auf denen 023 ausgeführt wird AL2.

Um Kernel Live Patching auf AL2 023 zu verwenden, müssen Sie Folgendes verwenden:

  • Eine 64-Bit x86_64- oder ARM64-Architektur

  • Kernel-Version 6.1

Richtlinienanforderungen

Um Pakete aus AL2 023 Repositorys herunterzuladen, EC2 benötigt Amazon Zugriff auf serviceeigene Amazon S3 S3-Buckets. Wenn Sie in Ihrer Umgebung einen Amazon Virtual Private Cloud (VPC) -Endpunkt für Amazon S3 verwenden, stellen Sie sicher, dass Ihre VPC-Endpunktrichtlinie den Zugriff auf diese öffentlichen Buckets zulässt. In der folgenden Tabelle wird der Amazon S3 S3-Bucket beschrieben, auf den Amazon EC2 möglicherweise für Kernel Live Patching zugreifen muss.

S3 Bucket-ARN Beschreibung

arn:aws:s3: ::al2023-repos- -de612dc2/* region

Amazon S3 S3-Bucket mit AL2 023 Repositorys

Arbeiten mit Kernel-Live-Patching

Sie können Kernel-Live-Patching für einzelne Instances über die Befehlszeile auf der Instance selbst aktivieren und anwenden. Alternativ können Sie Kernel-Live-Patching auf eine Gruppe verwalteter Instances mithilfe des AWS -Systems-Manager aktivieren und anwenden.

In den folgenden Abschnitten wird erläutert, wie Sie Kernel-Live-Patching auf einzelnen Instances über die Befehlszeile aktivieren und verwenden.

Weitere Informationen zur Aktivierung und Verwendung von Kernel Live Patching für eine Gruppe verwalteter Instances finden Sie unter Verwenden von Kernel Live Patching auf AL2 023-Instances im Benutzerhandbuch.AWS Systems Manager

Aktivieren des Kernel-Live-Patching

Kernel Live Patching ist auf 023 standardmäßig deaktiviert. AL2 Um Live-Patching zu verwenden, müssen Sie das DNF-Plugin für Kernel-Live-Patching installieren und die Live-Patching-Funktionalität aktivieren.

So aktivieren Sie das Kernel-Live-Patching:

  1. Kernel-Live-Patches sind für AL2 023 mit Kernel-Version verfügbar. 6.1 Um Ihre Kernel-Version zu überprüfen, führen Sie den folgenden Befehl aus.

    $ sudo dnf list kernel

  2. Installieren Sie das DNF-Plugin für Kernel-Live-Patching.

    $ sudo dnf install -y kpatch-dnf

  3. Aktivieren Sie das DNF-Plugin für Kernel-Live-Patching.

    $ sudo dnf kernel-livepatch -y auto

    Mit diesem Befehl wird auch die neueste Version des Kernel-Live-Patch-RPM aus den konfigurierten Repositorys installiert.

  4. Führen Sie den folgenden Befehl aus, um zu prüfen, ob das DNF-Plugin für das Kernel-Live-Patching korrekt installiert wurde.

    Wenn Sie Kernel-Live-Patching aktivieren, wird automatisch ein leeres Kernel-Live-Patch-RPM angewendet. Wenn Kernel-Live-Patching erfolgreich aktiviert wurde, gibt dieser Befehl eine Liste zurück, die das anfänglich leere Kernel-Live-Patch-RPM enthält.

    $ sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch
kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64

  5. Installieren Sie das kpatch-Paket.

    $ sudo dnf install -y kpatch-runtime

  6. Aktualisieren Sie den kpatch-Service, falls er zuvor installiert wurde. 

    $ sudo dnf upgrade kpatch-runtime

  7. Starten Sie den kpatch-Service. Dieser Service lädt alle Live-Patches des Kernels bei der Initialisierung oder beim Booten. 

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

Anzeigen der verfügbaren Kernel-Live-Patches

Amazon Linux-Sicherheitswarnungen werden über das Amazon Linux-Sicherheitszentrum veröffentlich. Weitere Informationen zu den AL2 023-Sicherheitswarnungen, einschließlich Warnungen für Kernel-Live-Patches, finden Sie im Amazon Linux Security Center. Kernel-Live-Patches wird das Präfix ALASLIVEPATCH vorangestellt. Das Amazon Linux-Sicherheitszentrum listet möglicherweise keine Live-Kernel-Patches auf, die Fehler beheben.

Sie können sich auch die verfügbaren Kernel-Live-Patches ansehen, um Hinweise zu erhalten und die Befehlszeile zu CVEs verwenden.

So listen Sie alle verfügbaren Kernel-Live-Patches für Advisories auf:

Verwenden Sie den folgenden Befehl.

$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Um alle verfügbaren Kernel-Live-Patches aufzulisten für CVEs

Verwenden Sie den folgenden -Befehl.

$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Anwenden von Kernel-Live-Patches

Sie wenden Kernel-Live-Patches mithilfe des DNF-Paketmanagers auf dieselbe Weise wie regelmäßige Updates an. Das DNF-Plugin für Kernel Live Patching verwaltet die Kernel-Live-Patches, die angewendet werden können.

Tipp

Wir empfehlen Ihnen, Ihren Kernel regelmäßig mit Kernel Live Patching zu aktualisieren, um sicherzustellen, dass er bestimmte wichtige und kritische Sicherheitsupdates erhält, bis das System neu gestartet werden kann. Bitte überprüfen Sie auch, ob zusätzliche Fixes für das native Kernel-Paket verfügbar gemacht wurden, die nicht als Live-Patches bereitgestellt werden können, und führen Sie in diesen Fällen ein Update durch und starten Sie das Kernel-Update neu.

Sie können wählen, ob Sie einen bestimmten Kernel-Live-Patch oder alle verfügbaren Kernel-Live-Patches zusammen mit Ihren regelmäßigen Sicherheitsupdates anwenden wollen.

So wenden Sie einen bestimmten Kernel-Live-Patch an:

  1. Holen Sie sich die Kernel-Live-Patch-Version mit einem der in Anzeigen der verfügbaren Kernel-Live-Patches beschriebenen Befehle.

  2. Wenden Sie den Kernel-Live-Patch für Ihren AL2 023-Kernel an.

    $ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64

    Der folgende Befehl wendet beispielsweise einen Kernel-Live-Patch für die AL2 023-Kernelversion an 6.1.12-17.42

    $ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
So wenden Sie alle verfügbaren Kernel-Live-Patches zusammen mit Ihren regelmäßigen Sicherheitsupdates an:

Verwenden Sie den folgenden Befehl.

$ sudo dnf upgrade --security

Lassen Sie die Option --security weg, um Bugfixes einzuschließen.

Wichtig

  • Die Kernel-Version wird nach der Anwendung von Kernel-Live-Patches nicht aktualisiert. Die Version wird erst nach einem Neustart der Instance auf die neue Version aktualisiert.

  • Ein AL2 023-Kernel erhält Kernel-Live-Patches für 3 Monate. Nach Ablauf der drei Monate werden für diese Kernel-Version keine neuen Kernel-Live-Patches mehr veröffentlicht.

  • Wenn Sie nach 3 Monaten weiterhin Kernel-Live-Patches erhalten möchten, müssen Sie die Instance neu starten, um auf die neue Kernel-Version zu aktualisieren. Die Instance wird nach dem Update wieder für 3 Monate Kernel-Live-Patches erhalten.

  • Führen Sie den folgenden Befehl aus, um das verbleibende Zeitfenster Ihrer Kernel-Version zu prüfen:

    $ sudo dnf kernel-livepatch support

Anzeigen der angewendeten Kernel-Live-Patches

So zeigen Sie die angewendeten Kernel-Live-Patches an:

Verwenden Sie den folgenden Befehl.

$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

Der Befehl gibt eine Liste der geladenen und installierten Sicherheitsupdate-Kernel-Live-Patches zurück. Es folgt eine Beispielausgabe.

Anmerkung

Ein einziger Kernel-Live-Patch kann mehrere Live-Patches enthalten und installieren.

Deaktivieren des Kernel-Live-Patching

Wenn Sie das Kernel-Live-Patching nicht mehr verwenden möchten, können Sie es jederzeit deaktivieren.

  • Deaktivieren Sie die Verwendung von livepatches:

    1. Das Plugin deaktivieren: 

      $ sudo dnf kernel-livepatch manual

    2. Deaktiviere das kpatch Dienst: 

      $ sudo systemctl disable --now kpatch.service

  • Entfernen Sie das vollständig livepatch Werkzeuge:

    1. Das Plugin entfernen:

      $ sudo dnf remove kpatch-dnf

    2. Remove kpatch-runtime:

      $ sudo dnf remove kpatch-runtime

    3. Entfernen Sie alle installierten livepatches:

      $ sudo dnf remove kernel-livepatch\*

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.