Utilisation Kernel Live Patching sur les nœuds gérés par Amazon Linux 2 - AWS Systems Manager
Kernel Live Patching  utilisant  Patch ManagerComment ? Kernel Live Patching utilisant Patch Manager fonctionnement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation Kernel Live Patching sur les nœuds gérés par Amazon Linux 2

Kernel Live Patching pour Amazon Linux 2 vous permet d'appliquer des correctifs de failles de sécurité et de bogues critiques à un noyau Linux en cours d'exécution sans redémarrer ni interrompre l'exécution des applications. Cela vous permet de bénéficier d’une meilleure disponibilité des services et des applications, tout en gardant votre infrastructure sécurisée et à jour. Kernel Live Patching est pris en charge sur EC2 les instances Amazon, les appareils AWS IoT Greengrass principaux et les machines virtuelles sur site exécutant Amazon Linux 2.

Pour des informations générales sur Kernel Live Patching, voir Kernel Live Patching sur Amazon Linux 2 dans le guide de EC2 l'utilisateur Amazon.

Une fois que vous avez allumé Kernel Live Patching sur un nœud géré par Amazon Linux 2, vous pouvez utiliser Patch Manager, une capacité de AWS Systems Manager, pour appliquer des correctifs dynamiques du noyau au nœud géré. Utilisation Patch Manager est une alternative à l'utilisation des flux de travail yum existants sur le nœud pour appliquer les mises à jour.

Avant de commencer

Pour utiliser Patch Manager pour appliquer des correctifs dynamiques du noyau à vos nœuds gérés par Amazon Linux 2, assurez-vous que vos nœuds sont basés sur la bonne architecture et la bonne version du noyau. Pour plus d'informations, consultez la section Configurations prises en charge et prérequis dans le guide de EC2 l'utilisateur Amazon.

Rubriques

Kernel Live Patching  utilisant  Patch Manager

Mise à jour de la version du noyau

Il n'est pas nécessaire de redémarrer un nœud géré après avoir appliqué un correctif à chaud du noyau. Cependant, AWS fournit des correctifs dynamiques du noyau pour une version du noyau Amazon Linux 2 jusqu'à trois mois après sa sortie. Après la période de 3 mois, vous devez effectuer une mise à jour vers une version ultérieure du noyau pour continuer à recevoir les correctifs à chaud du noyau. Nous vous recommandons d'utiliser une fenêtre de maintenance pour planifier un redémarrage de votre nœud au moins une fois tous les trois mois afin de demander la mise à jour de la version du noyau.

Désinstallation des correctifs live du noyau

Les correctifs dynamiques du noyau ne peuvent pas être désinstallés à l'aide de Patch Manager. Au lieu de cela, vous pouvez désactiver Kernel Live Patching, qui supprime les RPM packages pour les patchs dynamiques du noyau appliqués. Pour de plus amples informations, veuillez consulter Désactiver Kernel Live Patching en utilisant Run Command.

Conformité du noyau

Dans certains cas, l'installation de tous les CVE correctifs issus des correctifs actifs pour la version actuelle du noyau peut amener ce noyau dans le même état de conformité qu'une version plus récente du noyau. La version la plus récente est alors signalée comme Installed, tandis que le nœud géré est signalé comme Compliant. Cependant, aucune heure d'installation n'est signalée pour la version plus récente du noyau.

Un correctif dynamique pour le noyau, plusieurs CVEs

Si un correctif actif du noyau en adresse plusieurs CVEs et CVEs que celles-ci ont des valeurs de classification et de gravité différentes, seules les catégories et les niveaux de gravité les plus élevés CVEs sont signalées pour le correctif.

Le reste de cette section décrit comment utiliser Patch Manager pour appliquer des correctifs dynamiques du noyau aux nœuds gérés qui répondent à ces exigences.

Comment ? Kernel Live Patching utilisant Patch Manager fonctionnement

AWS publie deux types de correctifs dynamiques du noyau pour Amazon Linux 2 : des mises à jour de sécurité et des corrections de bogues. Pour appliquer ces types de correctifs, vous utilisez un document de référentiel de correctifs qui cible uniquement les classifications et les sévérités répertoriées dans le tableau suivant.

Classification Sévérité
Security Critical, Important
Bugfix All

Vous pouvez créer une ligne de base de correctifs personnalisée qui cible uniquement ces correctifs, ou utiliser la ligne de base de correctifs AWS-AmazonLinux2DefaultPatchBaseline prédéfinie. En d'autres termes, vous pouvez utiliser AWS-AmazonLinux2DefaultPatchBaseline avec Amazon Linux 2 des nœuds gérés sur lesquels Kernel Live Patching est activé et les mises à jour dynamiques du noyau seront appliquées.

Note

La AWS-AmazonLinux2DefaultPatchBaseline configuration indique une période d'attente de 7 jours après la publication ou la dernière mise à jour d'un correctif avant son installation automatique. Si vous ne voulez pas attendre 7 jours pour que les correctifs en direct du noyau soient automatiquement approuvés, vous pouvez créer et utiliser une base de correctifs personnalisée. Dans votre référentiel de correctifs, vous pouvez spécifier une période d'attente d'approbation automatique nulle ou plus courte ou plus longue. Pour de plus amples informations, veuillez consulter Utilisation des référentiels de correctifs personnalisés.

Nous vous recommandons la stratégie suivante pour appliquer les mises à jour à chaud du noyau sur vos nœuds gérés :

  1. Allumez Kernel Live Patching sur vos nœuds gérés Amazon Linux 2.

  2. Utiliser Run Command, une capacité permettant d' AWS Systems Manager exécuter une Scan opération sur vos nœuds gérés à l'aide de la ligne de base de correctifs prédéfinie AWS-AmazonLinux2DefaultPatchBaseline ou personnalisée qui cible également uniquement les Security mises à jour dont la gravité est classée comme Critical etImportant, et dont la Bugfix gravité est deAll.

  3. Utilisez Conformité, une fonctionnalité de AWS Systems Manager, pour vérifier si une non-conformité en matière de correctifs est signalée pour l'un des nœuds gérés qui ont été scannés. Si tel est le cas, consultez les détails de conformité du nœud pour déterminer s'il manque des correctifs à chaud du noyau dans le nœud géré.

  4. Pour installer les correctifs dynamiques du noyau manquants, utilisez Run Command avec la même ligne de base de correctif que vous avez spécifiée auparavant, mais cette fois, exécutez une Install opération au lieu d'une Scan opération.

    Comme les correctifs live du noyau sont installés sans avoir à redémarrer, vous pouvez choisir l'option de redémarrage NoReboot pour cette opération.

    Note

    Vous pouvez toujours redémarrer le nœud géré si d'autres types de correctifs installés sur celui-ci l'exigent, ou si vous souhaitez procéder à une mise à jour vers un noyau plus récent. Dans ces cas, sélectionnez plutôt l'option de redémarrage RebootIfNeeded.

  5. Revenez à Conformité pour vérifier que les correctifs live du noyau ont été installés.