Limitaciones Configuraciones admitidas y requisitos previos Usar Kernel Live Patching

Kernel Live Parcheo activado AL2023

Puede usar Kernel Live Patching para aplicar parches específicos AL2023 para vulnerabilidades de seguridad y errores críticos a un núcleo de Linux en ejecución sin reiniciar ni interrumpir las aplicaciones en ejecución. Además, Kernel Live Patching permite mejorar la disponibilidad de aplicaciones, a la vez que aplica estas correcciones hasta que el sistema pueda reiniciarse.

AWS publica dos tipos de parches activos del kernel para: AL2023

Actualizaciones de seguridad: incluye actualizaciones para vulnerabilidades y exposiciones comunes de Linux (CVE). Normalmente, estas actualizaciones se califican como importantes o críticas mediante las clasificaciones de Amazon Linux Security Advisory. En algunos casos, AWS puede proporcionar actualizaciones antes de asignar un CVE. En estos casos, los parches pueden aparecer como correcciones de errores. Los parches activos del núcleo para las actualizaciones de seguridad se proporcionan haciendo todo lo posible; es CVEs posible que no todos los parches importantes o críticos estén disponibles como parches activos para una versión determinada del núcleo. Para determinar si un parche activo ha abordado un CVE específico, consulte los avisos de seguridad de Amazon Linux.
Correcciones de errores: incluya correcciones para errores críticos y problemas de estabilidad que no estén relacionados con ellos. CVEs

AWS proporciona parches activos del núcleo para una versión AL2023 del núcleo durante un máximo de 3 meses después de su publicación. Después de este período, debe actualizar a una versión posterior del kernel para continuar recibiendo parches activos del kernel.

AL2023 los parches activos del núcleo están disponibles como paquetes RPM firmados en los AL2023 repositorios existentes. Los parches se pueden instalar en instancias individuales mediante flujos de trabajo del administrador de paquetes DNF existentes. O bien, se pueden instalar en un grupo de instancias administradas mediante AWS Systems Manager.

Kernel Live Patching on AL2023 se proporciona sin coste adicional.

Temas

Limitaciones
Configuraciones admitidas y requisitos previos
Usar Kernel Live Patching

Limitaciones

Al aplicar un parche activo del kernel, no se puede realizar la hibernación, utilizar herramientas avanzadas de depuración (como SystemTap, kprobes y herramientas basadas en eBPF) ni acceder a los archivos de salida de ftraceutilizados por la infraestructura de Kernel Live Patching.

nota

Debido a limitaciones técnicas, algunos problemas no se pueden solucionar con los parches activos. Por este motivo, estas correcciones no se incluirán en el paquete de parches activos del kernel, sino únicamente en la actualización del paquete nativo del kernel. Puede instalar el paquete nativo del kernel y actualizar y reiniciar el sistema para activar los parches como de costumbre.

Configuraciones admitidas y requisitos previos

El Kernel Live Patching es compatible con las instancias de Amazon EC2 y las máquinas virtuales locales que se ejecutan. AL2023

Para usar Kernel Live Patching AL2023, debe usar lo siguiente:

Una arquitectura x86_64 o ARM64 de 64 bits
Versión 6.1 o 6.12 del kernel

Requisitos de la política

Para descargar paquetes de los repositorios de AL2023, Amazon EC2 necesita acceso a los buckets de Amazon S3 que son propiedad del servicio. Si utiliza un punto de conexión de Amazon Virtual Private Cloud (VPC) para Amazon S3 en su entorno, asegúrese de que su política de punto de conexión de VPC permita el acceso a esos buckets públicos. En la tabla, se describe cada uno de los buckets de Amazon S3 a los que Amazon EC2 puede necesitar acceder para Kernel Live Patching.

ARN del bucket de S3	Description (Descripción)
arn:aws:s3: ::al2023-repos- -de612dc2/* `region`	Depósito de Amazon S3 que contiene AL2023 repositorios

Usar Kernel Live Patching

Puede habilitar y utilizar Kernel Live Patching en instancias individuales mediante la línea de comandos de la propia instancia. Como alternativa, puede habilitar y utilizar Kernel Live Patching en un grupo de instancias administradas mediante AWS Systems Manager.

En las siguientes secciones se explica cómo habilitar y usar Kernel Live Patching en instancias individuales mediante la línea de comandos.

Para obtener más información sobre cómo habilitar y usar los parches en vivo del kernel en un grupo de instancias administradas, consulte Usar los parches en vivo del kernel en las AL2023 instancias en la Guía del AWS Systems Manager usuario.

Temas

Habilitar Kernel Live Patching
Visualizar los parches activos disponibles del kernel
Aplicar parches activos del kernel.
Ver los parches activos del kernel aplicados
Deshabilitar Kernel Live Patching

Habilitar Kernel Live Patching

La aplicación de parches en tiempo real del núcleo está desactivada de forma predeterminada. AL2023 Para usar parches activos, debe instalar el complemento DNF de Kernel Live Patching y habilitar la funcionalidad de parches activos.

Para habilitar Kernel Live Patching

Los parches activos del núcleo están disponibles para la AL2023 versión 6.1 del núcleo. Para verificar la versión del kernel, ejecute el siguiente comando.
```
$ sudo dnf list kernel
```
Instalar el complemento DNF de Kernel Live Patching.
```
$ sudo dnf install -y kpatch-dnf
```
Habilitar el complemento DNF de Kernel Live Patching.
```
$ sudo dnf kernel-livepatch -y auto
```
Este comando también instala la última versión del RPM del parche activo del kernel desde los repositorios configurados.
Para confirmar que el complemento DNF de Kernel Live Patching se ha instalado correctamente, ejecute el siguiente comando.

Cuando habilite Kernel Live Patching, se aplica automáticamente un RPM de parche activo del kernel vacío. Si Kernel Live Patching se habilitó correctamente, este comando devuelve una lista que incluye el RPM inicial vacío del parche activo del kernel (y otro RPM que configura el repositorio DNF que contiene los parches activos).
```
$ sudo rpm -qa | grep kernel-livepatch
kernel-livepatch-repo-s3-2023.7.20250428-0.amzn2023.noarch
kernel-livepatch-6.1.134-150.224-1.0-0.amzn2023.x86_64
```
Instale el paquete kpatch.
```
$ sudo dnf install -y kpatch-runtime
```
Actualice el servicio kpatch si se instaló previamente.
```
$ sudo dnf upgrade kpatch-runtime
```
Inicie el servicio kpatch. Este servicio carga todos los parches activos del kernel al inicializar o al arrancar.
```
$ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service
```

Visualizar los parches activos disponibles del kernel

Las alertas de seguridad de Amazon Linux se publican en el Centro de seguridad de Amazon Linux. Para obtener más información sobre las alertas AL2023 de seguridad, incluidas las alertas sobre los parches activos del kernel, consulte el Centro de seguridad de Amazon Linux. Los parches activos del kernel tienen el prefijo ALASLIVEPATCH. Es posible que el Centro de seguridad de Amazon Linux no incluya revisiones activas del kernel que resuelven errores.

También puede encontrar los parches activos del kernel disponibles para obtener avisos y CVEs usar la línea de comandos.

Para enumerar todos los parches activos del kernel disponibles para avisos.

Utilice el siguiente comando.


$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Para ver una lista de todos los parches activos del núcleo disponibles para CVEs

Use el siguiente comando.


$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Aplicar parches activos del kernel.

Aplicar parches activos del kernel con el administrador de paquetes DNF de la misma manera que aplicaría actualizaciones regulares. El complemento DNF para Kernel Live Patching administra los parches activos del kernel que se van a aplicar.

sugerencia

Le recomendamos que actualice su núcleo con regularidad mediante el uso de parches en vivo para garantizar que reciba las correcciones de seguridad específicas hasta que se pueda reiniciar el sistema. Compruebe también si hay disponibles correcciones adicionales para el paquete nativo del núcleo que no se puedan implementar como parches activos y, en esos casos, actualice y reinicie con la actualización del kernel.

Puede optar por aplicar un parche activo específico del kernel o aplicar cualquier parche activo del kernel disponible junto con las actualizaciones de seguridad regulares.

Para aplicar un parche activo del codigo kernel específico.

Obtenga la versión del parche activo del kernel con uno de los comandos descritos en Visualizar los parches activos disponibles del kernel.
Aplique el parche activo del núcleo a su núcleo. AL2023
```
$ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64
```
Por ejemplo, el siguiente comando aplica un parche activo del núcleo para la versión AL2023 del núcleo 6.1.12-17.42
```
$ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
```

Para aplicar los parches activos del kernel disponibles junto con las actualizaciones de seguridad regulares

Utilice el siguiente comando.


$ sudo dnf upgrade --security

Omita la opción --security para incluir correcciones de errores.

importante

La versión del kernel no se actualiza después de aplicar parches activos del kernel. La versión solo se actualiza a la nueva versión después de reiniciar la instancia.
Un AL2023 núcleo recibe los parches activos del núcleo durante 3 meses. Una vez transcurrido este período, no se lanzan nuevos parches activos del kernel para esa versión del kernel.
Para continuar recibiendo parches activos del kernel después de 3 meses, debe reiniciar la instancia para pasar a la nueva versión del kernel. La instancia seguirá recibiendo parches activos del kernel durante los 3 meses siguientes a la actualización.

Para verificar la ventana de soporte para la versión del kernel, ejecute el siguiente comando:


$ sudo dnf kernel-livepatch support
The current version of the Linux kernel you are running will no longer receive live patches after 2025-07-22.

Ver los parches activos del kernel aplicados

Para ver los parches activos del kernel aplicados

Utilice el siguiente comando.


$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

El comando devuelve una lista de los parches activos del kernel de actualización de seguridad cargados e instalados. A continuación, se muestra un ejemplo del resultado.

nota

Un único parche activo del kernel puede incluir e instalar varios parches activos.

Deshabilitar Kernel Live Patching

Si ya no necesita utilizar Kernel Live Patching, puede desactivarlo en cualquier momento.

Deshabilitar el uso de livepatches:
1. Deshabilitar el complemento:
```
$ sudo dnf kernel-livepatch manual
```
2. Deshabilitar el servicio kpatch:
```
$ sudo systemctl disable --now kpatch.service
```
Quitar completamente las herramientas livepatch:
1. Eliminar el complemento:
```
$ sudo dnf remove kpatch-dnf
```
2. Eliminar kpatch-runtime:
```
$ sudo dnf remove kpatch-runtime
```
3. Eliminar todo lo que esté instalado en livepatches:
```
$ sudo dnf remove kernel-livepatch\*
```

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de actualizaciones

Actualizaciones del kernel