View a markdown version of this page

Penambalan Langsung Kernel di AL2023 - Amazon Linux 2023
BatasanKonfigurasi dan prasyarat yang didukungMenggunakan Kernel Live Patching

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penambalan Langsung Kernel di AL2023

Anda dapat menggunakan Kernel Live Patching AL2023 untuk menerapkan kerentanan keamanan tertentu dan patch bug kritis ke kernel Linux yang sedang berjalan tanpa me-reboot atau mengganggu aplikasi yang sedang berjalan. Selain itu, Kernel Live Patching dapat membantu meningkatkan ketersediaan aplikasi Anda saat menerapkan perbaikan ini hingga sistem dapat di-boot ulang.

AWS merilis dua jenis tambalan langsung kernel untuk AL2023:

  • Pembaruan keamanan – Termasuk pembaruan untuk kerentanan dan eksposur umum (CVE) Linux. Pembaruan ini biasanya dinilai sebagai penting atau kritis menggunakan penilaian Amazon Linux Security Advisory. Dalam beberapa kasus, AWS mungkin memberikan pembaruan sebelum CVE ditetapkan. Dalam kasus ini, patch mungkin muncul sebagai perbaikan bug. Tambalan langsung kernel untuk pembaruan keamanan disediakan dengan upaya terbaik - tidak semua penting atau kritis CVEs mungkin tersedia sebagai tambalan langsung untuk versi kernel tertentu. Untuk menentukan apakah CVE tertentu telah ditangani oleh tambalan langsung, periksa Amazon Linux Security Advisories.

  • Perbaikan bug - Sertakan perbaikan untuk bug kritis dan masalah stabilitas yang tidak terkait dengannya. CVEs

AWS menyediakan tambalan langsung kernel untuk versi AL2023 kernel hingga 3 bulan setelah dirilis. Setelah periode ini, Anda harus memperbarui ke versi kernel yang lebih baru untuk terus menerima patch langsung kernel.

AL2023 tambalan langsung kernel tersedia sebagai paket RPM yang ditandatangani di AL2023 repositori yang ada. Patch dapat diinstal pada instance individual menggunakan alur kerja manajer paket DNF yang ada. Atau, mereka dapat diinstal pada sekelompok instance terkelola menggunakan AWS Systems Manager.

Kernel Live Patching on AL2023 disediakan tanpa biaya tambahan.

Batasan

Saat menerapkan kernel live patch, Anda tidak dapat melakukan hibernasi, menggunakan alat debugging lanjutan (sepertiSystemTap,, dan alat eBPF berbasis)kprobes, atau mengakses file ftrace output yang digunakan oleh infrastruktur Kernel Live Patching.

catatan

Karena keterbatasan teknis, beberapa masalah tidak dapat diatasi dengan penambalan langsung. Karena itu, perbaikan ini tidak akan dikirimkan dalam paket kernel live patch tetapi hanya dalam pembaruan paket kernel asli. Anda dapat menginstal paket kernel asli dan memperbarui dan me-reboot sistem untuk mengaktifkan tambalan seperti biasa.

Konfigurasi dan prasyarat yang didukung

Kernel Live Patching didukung pada instans Amazon EC2 dan mesin virtual lokal yang berjalan. AL2023

Untuk menggunakan Kernel Live Patching aktif AL2023, Anda harus menggunakan yang berikut ini:

  • Sebuah 64-bit x86_64 atau ARM64 arsitektur

  • Versi kernel 6.1 atau 6.12

Persyaratan kebijakan

Untuk mengunduh paket dari repositori AL2023, Amazon EC2 memerlukan akses ke bucket Amazon S3 milik layanan. Jika Anda menggunakan titik akhir Amazon Virtual Private Cloud (VPC) untuk Amazon S3 di lingkungan Anda, pastikan kebijakan titik akhir VPC Anda memungkinkan akses ke bucket publik tersebut. Tabel berikut menjelaskan bucket Amazon S3 yang mungkin perlu diakses Amazon EC2 untuk Kernel Live Patching.

Bucket S3 ARN Deskripsi

arn:aws:s3: ::al2023-repo- -de612dc2/* region

Bucket Amazon S3 berisi repositori AL2023

Menggunakan Kernel Live Patching

Anda dapat mengaktifkan dan menggunakan Kernel Live Patching pada instance individual menggunakan baris perintah pada instance itu sendiri. Atau, Anda dapat mengaktifkan dan menggunakan Kernel Live Patching pada sekelompok instance terkelola menggunakan AWS Systems Manager.

Bagian berikut ini menjelaskan cara mengaktifkan dan menggunakan Kernel Live Patching pada tiap instans menggunakan baris perintah.

Untuk informasi selengkapnya tentang mengaktifkan dan menggunakan Kernel Live Patching pada sekelompok instance terkelola, lihat Menggunakan Kernel Live Patching pada AL2023 instance di Panduan Pengguna.AWS Systems Manager

Mengaktifkan Kernel Live Patching

Kernel Live Patching dinonaktifkan secara default pada AL2023. Untuk menggunakan live patching, Anda harus menginstal plugin DNF untuk Kernel Live Patching dan mengaktifkan fungsi patching langsung.

Untuk mengaktifkan Kernel Live Patching

  1. Kernel live patch tersedia untuk AL2023 dengan versi 6.1 kernel. Untuk memeriksa versi kernel Anda, jalankan perintah berikut.

    $ sudo dnf list kernel

  2. Instal plugin DNF untuk Kernel Live Patching.

    $ sudo dnf install -y kpatch-dnf

  3. Aktifkan plugin DNF untuk Kernel Live Patching.

    $ sudo dnf kernel-livepatch -y auto

    Perintah ini juga menginstal versi terbaru RPM live patch kernel dari repositori yang dikonfigurasi.

  4. Untuk mengonfirmasi bahwa plugin DNF untuk kernel live patching berhasil diinstal, jalankan perintah berikut.

    Saat Anda mengaktifkan Kernel Live Patching, RPM live patch kernel yang kosong secara otomatis diterapkan. Jika Kernel Live Patching berhasil diaktifkan, perintah ini mengembalikan daftar yang menyertakan RPM patch langsung kernel kosong awal (dan RPM lain yang mengatur repositori DNF yang berisi livepatches).

    $ sudo rpm -qa | grep kernel-livepatch
kernel-livepatch-repo-s3-2023.7.20250428-0.amzn2023.noarch
kernel-livepatch-6.1.134-150.224-1.0-0.amzn2023.x86_64

  5. Menginstal paket kpatch.

    $ sudo dnf install -y kpatch-runtime

  6. Perbarui layanan kpatch jika telah diinstal sebelumnya. 

    $ sudo dnf upgrade kpatch-runtime

  7. Mulai layanan kpatch. Layanan ini memuat semua live patch kernel saat inisialisasi atau boot. 

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

Tampilkan live patch kernel yang tersedia

Peringatan keamanan Amazon Linux diterbitkan ke Pusat Keamanan Amazon Linux. Untuk informasi selengkapnya tentang peringatan AL2023 keamanan, termasuk peringatan untuk tambalan langsung kernel, lihat Pusat Keamanan Amazon Linux. Live patch kernel diawali dengan ALASLIVEPATCH. Pusat Keamanan Amazon Linux mungkin tidak mencantumkan live patch kernel yang menangani bug.

Anda juga dapat menemukan patch langsung kernel yang tersedia untuk saran dan CVEs menggunakan baris perintah.

Untuk mencantumkan semua live patch kernel yang tersedia untuk advisori

Gunakan perintah berikut ini.

$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Untuk mencantumkan semua tambalan langsung kernel yang tersedia untuk CVEs

Gunakan perintah berikut ini.

$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Terapkan live patch kernel

Anda menerapkan patch langsung kernel menggunakan manajer paket DNF dengan cara yang sama seperti Anda menerapkan pembaruan rutin. Plugin DNF untuk Kernel Live Patching mengelola patch langsung kernel yang tersedia untuk diterapkan.

Tip

Kami menyarankan Anda memperbarui kernel Anda secara teratur menggunakan Kernel Live Patching untuk memastikan bahwa kernel menerima perbaikan keamanan tertentu hingga sistem dapat di-boot ulang. Harap periksa juga apakah perbaikan tambahan telah tersedia untuk paket kernel asli yang tidak dapat digunakan sebagai tambalan langsung dan pembaruan dan reboot ke pembaruan kernel untuk kasus tersebut.

Anda dapat memilih untuk menerapkan live patch kernel tertentu, atau untuk menerapkan live patch kernel yang tersedia bersama dengan pembaruan keamanan rutin Anda.

Untuk menerapkan live patch kernel tertentu

  1. Dapatkan versi live patch kernel menggunakan salah satu perintah yang dijelaskan di Tampilkan live patch kernel yang tersedia.

  2. Terapkan kernel live patch untuk AL2023 kernel Anda.

    $ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64

    Misalnya, perintah berikut menerapkan kernel live patch untuk versi AL2023 kernel 6.1.12-17.42

    $ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
Untuk menerapkan live patch kernel yang tersedia dengan pembaruan keamanan rutin Anda

Gunakan perintah berikut.

$ sudo dnf upgrade --security

Hilangkan opsi --security untuk memasukkan perbaikan bug.

penting

  • Versi kernel tidak diperbarui setelah menerapkan tambalan langsung kernel. Versi ini hanya diperbarui ke versi baru setelah instans di-boot ulang.

  • AL2023 Kernel menerima tambalan langsung kernel selama 3 bulan. Setelah periode ini, tidak ada patch live kernel baru yang dirilis untuk versi kernel tersebut.

  • Untuk terus menerima patch langsung kernel setelah 3 bulan, Anda harus me-reboot instance untuk pindah ke versi kernel baru. Instans terus menerima patch langsung kernel selama 3 bulan ke depan setelah Anda memperbaruinya.

  • Untuk memeriksa jendela dukungan untuk versi kernel Anda, jalankan perintah berikut:

    $ sudo dnf kernel-livepatch support
The current version of the Linux kernel you are running will no longer receive live patches after 2025-07-22.

Melihat live patch kernel yang diterapkan

Untuk melihat live patch kernel yang diterapkan

Gunakan perintah berikut.

$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

Perintah ini mengembalikan daftar live patch kernel pembaruan keamanan yang dimuat dan diinstal. Berikut ini adalah contoh output.

catatan

Satu live patch kernel dapat menyertakan dan menginstal beberapa live patch.

Menonaktifkan Kernel Live Patching

Jika Anda tidak perlu lagi menggunakan Kernel Live Patching, Anda dapat menonaktifkannya kapan saja.

  • Nonaktifkan penggunaanlivepatches:

    1. Nonaktifkan plugin: 

      $ sudo dnf kernel-livepatch manual

    2. Nonaktifkan kpatch layanan: 

      $ sudo systemctl disable --now kpatch.service

  • Hapus livepatch alat sepenuhnya:

    1. Hapus plugin:

      $ sudo dnf remove kpatch-dnf

    2. Hapuskpatch-runtime:

      $ sudo dnf remove kpatch-runtime

    3. Hapus semua yang diinstallivepatches:

      $ sudo dnf remove kernel-livepatch\*