Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Penambalan Langsung Kernel di AL2
<a name="al2-live-patching"></a>

**penting**  
Amazon Linux akan mengakhiri penambalan langsung untuk AL2 Kernel 4.14 pada 2025-10-31. Pelanggan didorong untuk menggunakan kernel 5.10 sebagai kernel default untuk AL2 (lihat kernel yang [AL2 didukung) atau pindah ke AL2023 dengan kernel](https://docs.aws.amazon.com/linux/al2/ug/aml2-kernel.html) 6.1 dan 6.12.   
Amazon Linux akan menyediakan tambalan langsung untuk AL2 Kernel 5.10 hingga akhir masa pakai AL2 pada 2026-06-30.

Kernel Live Patching for AL2 memungkinkan Anda menerapkan kerentanan keamanan tertentu dan patch bug kritis ke kernel Linux yang sedang berjalan, tanpa reboot atau gangguan pada aplikasi yang sedang berjalan. Ini memungkinkan Anda mendapatkan keuntungan dari peningkatan ketersediaan layanan dan aplikasi, sambil menerapkan perbaikan ini hingga sistem dapat di-boot ulang.

Untuk informasi tentang Kernel Live Patching AL2023, lihat [Kernel Live Patching AL2023 di](https://docs.aws.amazon.com/linux/al2023/ug/live-patching.html) Panduan Pengguna *Amazon Linux 2023*. 

AWS merilis dua jenis tambalan langsung kernel untuk AL2:
+ **Pembaruan keamanan** – Termasuk pembaruan untuk kerentanan dan eksposur umum (CVE) Linux. Pembaruan ini biasanya dinilai sebagai *penting* atau *kritis* menggunakan penilaian Amazon Linux Security Advisory. Secara umum, sistem ini memetakan skor Common Vulnerability Scoring System (CVSS) sebesar 7 atau lebih. Dalam beberapa kasus, AWS mungkin memberikan pembaruan sebelum CVE ditetapkan. Dalam kasus ini, patch mungkin muncul sebagai perbaikan bug.
+ **Perbaikan bug** - Sertakan perbaikan untuk bug kritis dan masalah stabilitas yang tidak terkait dengan. CVEs

AWS menyediakan tambalan langsung kernel untuk versi AL2 kernel hingga 3 bulan setelah dirilis. Setelah periode 3 bulan, Anda harus memperbarui ke versi kernel berikutnya untuk terus menerima live patch kernel.

AL2 tambalan langsung kernel tersedia sebagai paket RPM yang ditandatangani di AL2 repositori yang ada. Patch dapat diinstal pada instance individual menggunakan alur kerja **yum** yang ada, atau dapat diinstal pada sekelompok instance terkelola menggunakan Systems Manager. AWS 

Kernel Live Patching on AL2 disediakan tanpa biaya tambahan.

**Topics**
+ [Konfigurasi dan prasyarat yang didukung](#al2-live-patching-prereq)
+ [Menggunakan Kernel Live Patching](#working-with-live-patching)
+ [Batasan](#al2-live-patching-limitations)
+ [Pertanyaan umum](#al2-live-patching-faq)

## Konfigurasi dan prasyarat yang didukung
<a name="al2-live-patching-prereq"></a>

Kernel Live Patching didukung pada instans Amazon EC2 [dan mesin virtual lokal](amazon-linux-2-virtual-machine.md) yang berjalan. AL2

Untuk menggunakan Kernel Live Patching aktif AL2, Anda harus menggunakan:
+ Versi kernel `4.14` atau `5.10` pada arsitektur `x86_64`
+ Versi kernel `5.10` pada arsitektur `ARM64`

**Persyaratan Kebijakan**

<a name="aml-live-patching"></a>Untuk mengunduh paket dari repositori Amazon Linux, Amazon EC2 memerlukan akses ke bucket Amazon S3 milik layanan. Jika Anda menggunakan titik akhir cloud privat virtual (VPC) Amazon untuk Amazon S3 di lingkungan Anda, Anda perlu memastikan bahwa kebijakan titik akhir VPC Anda memungkinkan akses ke bucket publik tersebut. 

Tabel ini menjelaskan setiap bucket Amazon S3 yang mungkin perlu diakses EC2 untuk Kernel Live Patching.


| Bucket S3 ARN | Deskripsi | 
| --- | --- | 
|  arn:aws:s3: ::paket. region.amazonaws.com/\$1  |  Bucket Amazon S3 yang berisi paket AMI Amazon Linux   | 
|  arn:aws:s3: ::repo. region.amazonaws.com/\$1  |  Bucket Amazon S3 yang berisi repositori AMI Amazon Linux  | 
|  arn:aws:s3: ::amazonlinux. region.amazonaws.com/\$1  |  Bucket Amazon S3 berisi repositori AL2   | 
|  arn:aws:s3: ::amazonlinux-2-repo- /\$1 region  |  Bucket Amazon S3 berisi repositori AL2   | <a name="s3_live_patch_permissions"></a>

Kebijakan berikut menggambarkan cara membatasi akses ke identitas dan sumber daya milik organisasi Anda dan memberikan akses ke bucket Amazon S3 yang diperlukan untuk Kernel Live Patching. Ganti*region*, *principal-org-id* dan *resource-org-id* dengan nilai-nilai organisasi Anda.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "principal-org-id",
          "aws:ResourceOrgID": "resource-org-id"
        }
      }
    },
    {
      "Sid": "AllowAccessToAmazonLinuxAMIRepositories",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::packages.region.amazonaws.com/*",
        "arn:aws:s3:::repo.region.amazonaws.com/*",
        "arn:aws:s3:::amazonlinux.region.amazonaws.com/*",
        "arn:aws:s3:::amazonlinux-2-repos-region/*"
      ]
    }
  ]
}
```

------

## Menggunakan Kernel Live Patching
<a name="working-with-live-patching"></a>

Anda dapat mengaktifkan dan menggunakan Kernel Live Patching pada instance individual menggunakan baris perintah pada instans itu sendiri, atau Anda dapat mengaktifkan dan menggunakan Kernel Live Patching pada sekelompok instance terkelola menggunakan Systems Manager. AWS 

Bagian berikut ini menjelaskan cara mengaktifkan dan menggunakan Kernel Live Patching pada tiap instans menggunakan baris perintah.

*Untuk informasi selengkapnya tentang mengaktifkan dan menggunakan Kernel Live Patching pada sekelompok instance terkelola, lihat [Menggunakan Kernel Live Patching pada AL2 instance di Panduan Pengguna](https://docs.aws.amazon.com/systems-manager/latest/userguide/kernel-live-patching.html).AWS Systems Manager *

**Topics**
+ [Mengaktifkan Kernel Live Patching](#al2-live-patching-enable)
+ [Tampilkan live patch kernel yang tersedia](#al2-live-patching-view-available)
+ [Terapkan live patch kernel](#al2-live-patching-apply)
+ [Melihat live patch kernel yang diterapkan](#al2-live-patching-view)
+ [Menonaktifkan Kernel Live Patching](#al2-live-patching-disable)

### Mengaktifkan Kernel Live Patching
<a name="al2-live-patching-enable"></a>

Kernel Live Patching dinonaktifkan secara default pada AL2. Untuk menggunakan live patching, Anda harus menginstal plugin **yum** untuk Kernel Live Patching dan mengaktifkan fungsionalitas live patching.

**Prasyarat**  
Kernel Live Patching membutuhkan `binutils`. Jika Anda belum menginstal `binutils`, instal menggunakan perintah berikut:

```
$ sudo yum install binutils
```

**Untuk mengaktifkan Kernel Live Patching**

1. Kernel live patch tersedia untuk versi AL2 kernel berikut:
   + Versi kernel `4.14` atau `5.10` pada arsitektur `x86_64`
   + Versi kernel `5.10` pada arsitektur `ARM64`

   Untuk memeriksa versi kernel Anda, jalankan perintah berikut.

   ```
   $ sudo yum list kernel
   ```

1. Jika Anda sudah memiliki versi kernel yang didukung, lewati langkah ini. Jika Anda tidak memiliki versi kernel yang didukung, jalankan perintah berikut untuk memperbarui kernel ke versi terbaru dan untuk melakukan boot ulang instans.

   ```
   $ sudo yum install -y kernel
   ```

   ```
   $ sudo reboot
   ```

1. Instal plugin **yum** untuk Kernel Live Patching.

   ```
   $ sudo yum install -y yum-plugin-kernel-livepatch
   ```

1. Aktifkan plugin **yum** untuk Kernel Live Patching.

   ```
   $ sudo yum kernel-livepatch enable -y
   ```

   Perintah ini juga menginstal versi terbaru RPM live patch kernel dari repositori yang dikonfigurasi.

1. Untuk mengonfirmasi bahwa plugin **yum** untuk kernel live patching berhasil diinstal, jalankan perintah berikut.

   ```
   $ rpm -qa | grep kernel-livepatch
   ```

   Saat Anda mengaktifkan Kernel Live Patching, RPM live patch kernel yang kosong secara otomatis diterapkan. Jika Kernel Live Patching berhasil diaktifkan, perintah ini mengembalikan daftar yang mencakup RPM live patch kernel kosong awal. Berikut ini adalah output contoh.

   ```
   yum-plugin-kernel-livepatch-1.0-0.11.amzn2.noarch
   kernel-livepatch-5.10.102-99.473-1.0-0.amzn2.x86_64
   ```

1. Menginstal paket **kpatch**.

   ```
   $ sudo yum install -y kpatch-runtime
   ```

1. Perbarui layanan **kpatch** jika telah diinstal sebelumnya. 

   ```
   $ sudo yum update kpatch-runtime
   ```

1. Mulai layanan **kpatch**. Layanan ini memuat semua live patch kernel saat inisialisasi atau boot. 

   ```
   $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service
   ```

1. Aktifkan topik Kernel Live Patching di Perpustakaan AL2 Ekstra. Topik ini berisi live patch kernel.

   ```
   $ sudo amazon-linux-extras enable livepatch
   ```

### Tampilkan live patch kernel yang tersedia
<a name="al2-live-patching-view-available"></a>

Peringatan keamanan Amazon Linux diterbitkan ke Pusat Keamanan Amazon Linux. Untuk informasi selengkapnya tentang peringatan AL2 keamanan, yang mencakup peringatan untuk tambalan langsung kernel, lihat Pusat Keamanan [Amazon Linux](https://alas.aws.amazon.com/alas2.html). Live patch kernel diawali dengan `ALASLIVEPATCH`. Pusat Keamanan Amazon Linux mungkin tidak mencantumkan live patch kernel yang menangani bug.

Anda juga dapat menemukan patch aktif kernel yang tersedia untuk imbauan dan CVEs menggunakan baris perintah.

**Untuk mencantumkan semua live patch kernel yang tersedia untuk advisori**  
Gunakan perintah berikut.

```
$ yum updateinfo list
```

Berikut ini adalah contoh output.

```
Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motd
ALAS2LIVEPATCH-2020-002 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
ALAS2LIVEPATCH-2020-005 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done
```

**Untuk mencantumkan semua tambalan langsung kernel yang tersedia untuk CVEs**  
Gunakan perintah berikut ini.

```
$ yum updateinfo list cves
```

Berikut ini adalah contoh output.

```
Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motdamzn2-core/2/x86_64 | 2.4 kB 00:00:00 
CVE-2019-15918 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2019-20096 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2020-8648 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done
```

### Terapkan live patch kernel
<a name="al2-live-patching-apply"></a>

Anda menerapkan live patch kernel menggunakan manajer paket **yum** dengan cara yang sama Anda akan menerapkan pembaruan rutin. Plugin **yum** untuk Kernel Live Patching mengelola patch langsung kernel yang tersedia untuk diterapkan.

**Tip**  
Kami menyarankan Anda memperbarui kernel Anda secara teratur menggunakan Kernel Live Patching untuk memastikan bahwa kernel menerima perbaikan keamanan penting dan kritis tertentu hingga sistem dapat di-boot ulang. Harap periksa juga apakah perbaikan tambahan telah tersedia untuk paket kernel asli yang tidak dapat digunakan sebagai tambalan langsung dan [pembaruan dan reboot ke pembaruan](https://docs.aws.amazon.com/linux/al2/ug/install-updates.html) kernel untuk kasus tersebut.

Anda dapat memilih untuk menerapkan live patch kernel tertentu, atau untuk menerapkan live patch kernel yang tersedia bersama dengan pembaruan keamanan rutin Anda.

**Untuk menerapkan live patch kernel tertentu**

1. Dapatkan versi live patch kernel menggunakan salah satu perintah yang dijelaskan di [Tampilkan live patch kernel yang tersedia](#al2-live-patching-view-available).

1. Terapkan kernel live patch untuk AL2 kernel Anda.

   ```
   $ sudo yum install kernel-livepatch-kernel_version.x86_64
   ```

   Misalnya, perintah berikut menerapkan kernel live patch untuk versi AL2 kernel`5.10.102-99.473`.

   ```
   $ sudo yum install kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
   ```

**Untuk menerapkan live patch kernel yang tersedia dengan pembaruan keamanan rutin Anda**  
Gunakan perintah berikut.

```
$ sudo yum update --security
```

Hilangkan opsi `--security` untuk memasukkan perbaikan bug.

**penting**  
Versi kernel tidak diperbarui setelah menerapkan live patch kernel. Versi ini hanya diperbarui ke versi baru setelah instans di-boot ulang.
 AL2 Kernel menerima kernel live patch untuk jangka waktu tiga bulan. Setelah periode tiga bulan berlalu, tidak ada live patch kernel baru yang dirilis untuk versi kernel tersebut. Untuk terus menerima live patch kernel setelah tiga bulan, Anda harus melakukan boot ulang instans untuk beralih ke versi kernel baru, yang kemudian akan terus menerima live patch kernel untuk tiga bulan berikutnya. Untuk memeriksa jendela dukungan untuk versi kernel Anda, jalankan `yum kernel-livepatch supported`.

### Melihat live patch kernel yang diterapkan
<a name="al2-live-patching-view"></a>

**Untuk melihat live patch kernel yang diterapkan**  
Gunakan perintah berikut.

```
$ kpatch list
```

Perintah ini mengembalikan daftar live patch kernel pembaruan keamanan yang dimuat dan diinstal. Berikut ini adalah contoh output.

```
Loaded patch modules:
livepatch_cifs_lease_buffer_len [enabled]
livepatch_CVE_2019_20096 [enabled]
livepatch_CVE_2020_8648 [enabled]
	
Installed patch modules:
livepatch_cifs_lease_buffer_len (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2019_20096 (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2020_8648 (5.10.102-99.473.amzn2.x86_64)
```

**catatan**  
Satu live patch kernel dapat menyertakan dan menginstal beberapa live patch.

### Menonaktifkan Kernel Live Patching
<a name="al2-live-patching-disable"></a>

Jika Anda tidak perlu lagi menggunakan Kernel Live Patching, Anda dapat menonaktifkannya kapan saja.

**Untuk menonaktifkan Kernel Live Patching**

1. Hapus paket RPM untuk live patch kernel yang diterapkan.

   ```
   $ sudo yum kernel-livepatch disable
   ```

1. Hapus plugin **yum** untuk Kernel Live Patching.

   ```
   $ sudo yum remove yum-plugin-kernel-livepatch
   ```

1. Boot ulang instans.

   ```
   $ sudo reboot
   ```

## Batasan
<a name="al2-live-patching-limitations"></a>

Kernel Live Patching memiliki keterbatasan sebagai berikut:
+ Saat menerapkan kernel live patch, Anda tidak dapat melakukan hibernasi, menggunakan alat debugging lanjutan (seperti, kprobe SystemTap, dan alat berbasis EBPF), atau mengakses file output ftrace yang digunakan oleh infrastruktur Kernel Live Patching.
+ 
**catatan**  
Karena keterbatasan teknis, beberapa masalah tidak dapat diatasi dengan penambalan langsung. Karena itu, perbaikan ini tidak akan dikirimkan dalam paket kernel live patch tetapi hanya dalam pembaruan paket kernel asli. Anda dapat menginstal [pembaruan paket kernel asli dan reboot](https://docs.aws.amazon.com/linux/al2/ug/install-updates.html) sistem untuk mengaktifkan tambalan seperti biasa.

## Pertanyaan umum
<a name="al2-live-patching-faq"></a>

Untuk pertanyaan umum tentang Kernel Live Patching AL2, lihat FAQ [Amazon Linux 2 Kernel Live Patching](https://aws.amazon.com//amazon-linux-2/faqs/).