Limitaciones Configuraciones admitidas y requisitos previos Usar Kernel Live Patching

Parcheo en vivo del kernel en 023 AL2

Puede usar Kernel Live Patching para AL2 023 para aplicar parches específicos de vulnerabilidades de seguridad y errores críticos a un núcleo de Linux en ejecución sin reiniciar ni interrumpir las aplicaciones en ejecución. Además, Kernel Live Patching puede ayudar a mejorar la disponibilidad de la aplicación y, al mismo tiempo, aplicar estas correcciones hasta que se pueda reiniciar el sistema.

AWS publica dos tipos de parches activos del núcleo para la versión 023: AL2

Actualizaciones de seguridad: incluye actualizaciones para vulnerabilidades y exposiciones comunes de Linux (CVE). Normalmente, estas actualizaciones se califican como importantes o críticas mediante las clasificaciones de Amazon Linux Security Advisory. Por lo general, se asignan a una puntuación del sistema de clasificación de vulnerabilidades comunes (CVSS) de 7 o superior. En algunos casos, AWS puede proporcionar actualizaciones antes de asignar un CVE. En estos casos, los parches pueden aparecer como correcciones de errores.
Correcciones de errores: incluye correcciones para errores críticos y problemas de estabilidad no relacionados con CVEs ellos.

AWS proporciona parches activos del núcleo para una versión AL2 023 del núcleo durante un máximo de 3 meses después de su publicación. Después de este período, debe actualizar a una versión posterior del código kernel para continuar recibiendo parches activos de kernel.

AL2Los parches activos del núcleo 023 están disponibles como paquetes RPM firmados en los repositorios AL2 023 existentes. Los parches se pueden instalar en instancias individuales mediante flujos de trabajo del administrador de paquetes DNF existentes. O bien, se pueden instalar en un grupo de instancias administradas mediante AWS Systems Manager.

La aplicación Kernel Live Patching de la AL2 versión 023 se proporciona sin coste adicional.

Temas

Limitaciones
Configuraciones admitidas y requisitos previos
Usar Kernel Live Patching

Limitaciones

Al aplicar un parche activo del código kernel, no se puede realizar la hibernación, utilizar herramientas avanzadas de depuración (como SystemTap, kprobes y herramientas basadas en eBPF) ni acceder a los archivos de salida de ftraceutilizados por la infraestructura de Kernel Live Patching.

nota

Debido a limitaciones técnicas, algunos problemas no se pueden solucionar con los parches en tiempo real. Por este motivo, estas correcciones no se incluirán en el paquete de parches activos del núcleo, sino únicamente en la actualización del paquete nativo del núcleo. Puede instalar el paquete nativo del núcleo y actualizar y reiniciar el sistema para activar los parches como de costumbre.

Configuraciones admitidas y requisitos previos

Kernel Live Patching es compatible con las EC2 instancias de Amazon y las máquinas virtuales locales que ejecutan AL2 023.

Para usar Kernel Live Patching en la versión AL2 023, debe usar lo siguiente:

Una arquitectura x86_64 o ARM64 de 64 bits
Versión 6.1 del código kernel

Requisitos de política

Para descargar paquetes de los repositorios de AL2 023, Amazon EC2 necesita acceder a los buckets de Amazon S3 propiedad del servicio. Si utiliza un punto de enlace de Amazon Virtual Private Cloud (VPC) para Amazon S3 en su entorno, asegúrese de que su política de puntos de enlace de VPC permita el acceso a esos depósitos públicos. En la siguiente tabla se describe el depósito de Amazon S3 al que Amazon EC2 podría necesitar acceder para aplicar parches en vivo al kernel.

ARN del bucket de S3	Descripción
arn:aws:s3: ::al2023-repos- -de612dc2/* `region`	Depósito de Amazon S3 que contiene AL2 023 repositorios

Usar Kernel Live Patching

Puede habilitar y utilizar Kernel Live Patching en instancias individuales mediante la línea de comandos de la propia instancia. Como alternativa, puede habilitar y utilizar Kernel Live Patching en un grupo de instancias administradas mediante AWS Systems Manager.

En las siguientes secciones se explica cómo habilitar y usar Kernel Live Patching en instancias individuales mediante la línea de comandos.

Para obtener más información sobre cómo habilitar y usar los parches en vivo del núcleo en un grupo de instancias administradas, consulte Cómo usar los parches en vivo del núcleo en las instancias AL2 023 en la Guía del usuario.AWS Systems Manager

Temas

Habilitar Kernel Live Patching
Visualizar los parches activos disponibles de kernel
Aplicar parches activos del código kernel.
Ver los parches activos del código kernel aplicados
Deshabilitar Kernel Live Patching

Habilitar Kernel Live Patching

La aplicación de parches en vivo del núcleo está deshabilitada de forma predeterminada en la versión 023. AL2 Para usar parches activos, debe instalar el complemento DNF de Kernel Live Patching y habilitar la funcionalidad de parches activos.

Para habilitar Kernel Live Patching

Los parches activos del kernel están disponibles para la versión AL2 023 con la versión kernel. 6.1 Para verificar la versión de kernel, ejecute el siguiente comando.
```
$ sudo dnf list kernel
```
Instalar el complemento DNF de Kernel Live Patching.
```
$ sudo dnf install -y kpatch-dnf
```
Habilitar el complemento DNF de Kernel Live Patching.
```
$ sudo dnf kernel-livepatch -y auto
```
Este comando también instala la última versión del RPM del parche activo del código kernel desde los repositorios configurados.
Para confirmar que el complemento DNF de Kernel Live Patching se ha instalado correctamente, ejecute el siguiente comando.

Cuando habilite Kernel Live Patching, se aplica automáticamente un RPM de parche activo de kernel vacío. Si Kernel Live Patching se habilitó correctamente, este comando devuelve una lista que incluye el RPM inicial vacío del parche activo de kernel.
```
$ sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch
kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64
```
Instale el paquete kpatch.
```
$ sudo dnf install -y kpatch-runtime
```
Actualice el servicio kpatch si se instaló previamente.
```
$ sudo dnf upgrade kpatch-runtime
```
Inicie el servicio kpatch. Este servicio carga todos los parches activos de kernel al inicializar o al arrancar.
```
$ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service
```

Visualizar los parches activos disponibles de kernel

Las alertas de seguridad de Amazon Linux se publican en el Centro de seguridad de Amazon Linux. Para obtener más información sobre las alertas de seguridad AL2 023, incluidas las alertas sobre los parches activos del kernel, consulte el Centro de seguridad de Amazon Linux. Los parches activos del código kernel tienen el prefijo ALASLIVEPATCH. Es posible que el Centro de seguridad de Amazon Linux no incluya revisiones activas de kernel que resuelven errores.

También puede encontrar los parches activos del kernel disponibles para recibir avisos y CVEs usar la línea de comandos.

Para enumerar todos los parches activos del código kernel disponibles para avisos.

Use el siguiente comando.


$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Para ver una lista de todos los parches activos del núcleo disponibles para CVEs

Use el siguiente comando.


$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Aplicar parches activos del código kernel.

Aplicar parches activos del código kernel con el administrador de paquetes DNF de la misma manera que aplicaría actualizaciones regulares. El complemento DNF para el parcheo en vivo del núcleo gestiona los parches activos del núcleo que están disponibles para su aplicación.

sugerencia

Le recomendamos que actualice su núcleo con regularidad mediante Kernel Live Patching para asegurarse de que recibe correcciones de seguridad específicas importantes y críticas hasta que se pueda reiniciar el sistema. Compruebe también si hay disponibles correcciones adicionales para el paquete nativo del núcleo que no se puedan implementar como parches activos y, en esos casos, actualice y reinicie con la actualización del núcleo.

Puede optar por aplicar un parche activo específico del código kernel o aplicar cualquier parche activo de kernel disponible junto con las actualizaciones de seguridad regulares.

Para aplicar un parche activo del codigo kernel específico.

Obtenga la versión del parche activo del código kernel con uno de los comandos descritos en Visualizar los parches activos disponibles de kernel.
Aplique el parche activo del núcleo a su núcleo AL2 023.
```
$ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64
```
Por ejemplo, el siguiente comando aplica un parche activo del kernel para la versión AL2 023 del kernel 6.1.12-17.42
```
$ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
```

Para aplicar los parches activos del código kernel disponibles junto con las actualizaciones de seguridad regulares

Utilice el siguiente comando.


$ sudo dnf upgrade --security

Omita la opción --security para incluir correcciones de errores.

importante

La versión del código kernel no se actualiza después de aplicar parches activos de kernel. La versión solo se actualiza a la nueva versión después de reiniciar la instancia.
Un núcleo AL2 023 recibe los parches activos del núcleo durante 3 meses. Una vez transcurrido este período, no se lanzan nuevos parches activos del código kernel para esa versión de kernel.
Para continuar recibiendo parches activos del código kernel después de 3 meses, debe reiniciar la instancia para pasar a la nueva versión de kernel. La instancia seguirá recibiendo parches activos de kernel durante los 3 meses siguientes a la actualización.
Para verificar la ventana de soporte para la versión de kernel, ejecute el siguiente comando:
```
$ sudo dnf kernel-livepatch support
```

Ver los parches activos del código kernel aplicados

Para ver los parches activos del código kernel aplicados

Utilice el siguiente comando.


$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

El comando devuelve una lista de los parches activos del código kernel de actualización de seguridad cargados e instalados. A continuación, se muestra un ejemplo del resultado.

nota

Un único parche activo del código kernel puede incluir e instalar varios parches activos.

Deshabilitar Kernel Live Patching

Si ya no necesita utilizar Kernel Live Patching, puede desactivarlo en cualquier momento.

Deshabilite el uso de livepatches:
1. Deshabilitar el complemento:
```
$ sudo dnf kernel-livepatch manual
```
2. Deshabilite el kpatch servicio:
```
$ sudo systemctl disable --now kpatch.service
```
Extraiga completamente el livepatch herramientas:
1. Eliminar el complemento:
```
$ sudo dnf remove kpatch-dnf
```
2. Quitar kpatch-runtime:
```
$ sudo dnf remove kpatch-runtime
```
3. Elimine cualquier instalación livepatches:
```
$ sudo dnf remove kernel-livepatch\*
```

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de actualizaciones

Lenguajes de programación y tiempos de ejecución