Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Die Verwendung von Kernel Live Patching auf Amazon Linux 2 verwalteten Knoten
Kernel Live Patching für Amazon Linux 2 ermöglicht es Ihnen, Sicherheitslücken und kritische Bug-Patches auf einen laufenden Linux-Kernel anzuwenden, ohne Neustarts oder Unterbrechungen laufender Anwendungen. So können Sie von einer verbesserten Service- und Anwendungsverfügbarkeit profitieren und gleichzeitig Ihre Infrastruktur sicher und auf dem neuesten Stand halten. Kernel Live Patching wird auf EC2 Amazon-Instances, AWS IoT Greengrass Core-Geräten und lokalen virtuellen Maschinen unterstützt, auf denen Amazon Linux 2 ausgeführt wird.
Für allgemeine Informationen über Kernel Live Patching, siehe Kernel Live Patching unter Amazon Linux 2 im EC2Amazon-Benutzerhandbuch.
Nach dem Einschalten Kernel Live Patching auf einem verwalteten Amazon Linux 2-Knoten können Sie verwenden Patch Manager, eine Fähigkeit von AWS Systems Manager, Kernel-Live-Patches auf den verwalteten Knoten anzuwenden. Die Verwendung von Patch Manager ist eine Alternative zur Verwendung vorhandener Yum-Workflows auf dem Knoten, um die Updates anzuwenden.
Bevor Sie beginnen
Zur Verwendung Patch Manager Um Kernel-Live-Patches auf Ihre verwalteten Amazon Linux 2-Knoten anzuwenden, stellen Sie sicher, dass Ihre Knoten auf der richtigen Architektur und Kernelversion basieren. Weitere Informationen finden Sie unter Unterstützte Konfigurationen und Voraussetzungen im EC2Amazon-Benutzerhandbuch.
Themen
Kernel Live Patching verwenden Patch Manager
- Aktualisieren der Kernel-Version
-
Sie müssen einen verwalteten Knoten nicht neu starten, nachdem Sie ein Kernel-Live-Patch-Update angewendet haben. AWS Stellt jedoch Kernel-Live-Patches für eine Amazon Linux 2-Kernelversion für bis zu drei Monate nach ihrer Veröffentlichung bereit. Nach Ablauf der dreimonatigen Frist müssen Sie auf eine spätere Kernel-Version aktualisieren, um weiterhin Kernel-Live-Patches zu erhalten. Wir empfehlen Ihnen, mithilfe eines Wartungsfensters mindestens einmal alle drei Monate einen Neustart Ihres Knoten zu planen, um das Update der Kernel-Version zu veranlassen.
- Deinstallieren von Kernel-Live-Patches
-
Kernel-Live-Patches können nicht deinstalliert werden mit Patch Manager. Stattdessen können Sie ausschalten Kernel Live Patching, wodurch die RPM Pakete für die angewendeten Kernel-Live-Patches entfernt werden. Weitere Informationen finden Sie unter Deaktivieren von Kernel Live Patching mit Run Command.
- Kernel-Compliance
-
In einigen Fällen kann die Installation aller CVE Fixes aus Live-Patches für die aktuelle Kernel-Version diesen Kernel in den gleichen Konformitätsstatus bringen, den eine neuere Kernel-Version haben würde. Wenn dies geschieht, wird die neuere Version als
Installed
und der verwaltete Knoten alsCompliant
gemeldet. Für die neuere Kernel-Version wird jedoch keine Installationszeit gemeldet. - Ein Kernel-Live-Patch, mehrere CVEs
-
Wenn ein Kernel-Live-Patch mehrere CVEs adressiert und diese unterschiedliche Klassifizierungs- und Schweregradwerte CVEs haben, CVEs wird für den Patch nur die höchste Klassifizierung und der höchste Schweregrad gemeldet.
Der Rest dieses Abschnitts beschreibt die Verwendung Patch Manager um Kernel-Live-Patches auf verwaltete Knoten anzuwenden, die diese Anforderungen erfüllen.
Wie Kernel Live Patching verwenden Patch Manager funktioniert
AWS veröffentlicht zwei Arten von Kernel-Live-Patches für Amazon Linux 2: Sicherheitsupdates und Bugfixes. Um diese Patch-Typen anzuwenden, verwenden Sie ein Patch-Baseline-Dokument, das nur auf die in der folgenden Tabelle aufgeführten Klassifizierungen und Schweregrade ausgerichtet ist.
Klassifizierung | Schweregrad |
---|---|
Security |
Critical , Important |
Bugfix |
All |
Sie können eine benutzerdefinierte Patch-Baseline erstellen, die nur auf diese Patches ausgerichtet ist, oder die vordefinierte Patch-Baseline AWS-AmazonLinux2DefaultPatchBaseline
verwenden. Mit anderen Worten, Sie können AWS-AmazonLinux2DefaultPatchBaseline
mit Amazon Linux 2 verwaltete Knoten verwenden, auf denen Kernel Live Patching ist aktiviert und Kernel-Live-Updates werden angewendet.
Anmerkung
Die AWS-AmazonLinux2DefaultPatchBaseline
-Konfiguration hat eine Wartezeit von sieben Tagen nach Veröffentlichung oder letzten Aktualisierung eines Patches, bevor er automatisch installiert wird. Wenn Sie nicht sieben Tage warten möchten, bis Kernel-Live-Patches automatisch genehmigt werden, können Sie eine benutzerdefinierte Patch-Baseline erstellen und verwenden. In der Patch-Baseline können Sie keine Wartezeit für automatische Genehmigung oder einen kürzeren oder längeren Zeitraum angeben. Weitere Informationen finden Sie unter Arbeiten mit benutzerdefinierten Patch-Baselines.
Wir empfehlen die folgende Strategie zum Patchen Ihrer verwalteten Knoten mit Kernel-Live-Updates:
-
Einschalten Kernel Live Patching auf Ihren verwalteten Amazon Linux 2-Knoten.
-
Verwenden Sie Run Command, eine Fähigkeit von AWS Systems Manager, einen
Scan
Vorgang auf Ihren verwalteten Knoten unter Verwendung der vordefiniertenAWS-AmazonLinux2DefaultPatchBaseline
oder einer benutzerdefinierten Patch-Baseline auszuführen, die auch nur aufSecurity
Updates abzielt, deren Schweregrad alsCritical
und klassifiziert istImportant
, und demBugfix
Schweregrad vonAll
. -
Verwenden Sie Compliance, eine Funktion von AWS Systems Manager, um zu überprüfen, ob für einen der gescannten verwalteten Knoten Verstöße wegen Patches gemeldet wurden. Wenn dies der Fall ist, zeigen Sie die Compliance-Details für den Knoten an, um festzustellen, ob Kernel-Live-Patches im verwalteten Knoten fehlen.
-
Um fehlende Kernel-Live-Patches zu installieren, verwenden Sie Run Command mit derselben Patch-Baseline, die Sie zuvor angegeben haben, aber führen Sie diesmal eine
Install
Operation statt einerScan
Operation aus.Da Kernel-Live-Patches installiert werden, ohne dass ein Neustart erforderlich ist, können Sie die Neustartoption
NoReboot
für diese Operation auswählen.Anmerkung
Sie können den verwalteten Knoten dennoch neu starten, wenn dies für andere auf dem Knoten installierte Patch-Typen erforderlich ist oder wenn Sie auf einen neueren Kernel aktualisieren möchten. Wählen Sie in diesen Fällen stattdessen die Neustartoption
RebootIfNeeded
aus. -
Kehren Sie zu Compliance zurück, um zu überprüfen, ob die Kernel-Live-Patches installiert wurden.