Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kernel Live Patching pada 023 AL2
Anda dapat menggunakan Kernel Live Patching untuk AL2 023 untuk menerapkan kerentanan keamanan dan patch bug kritis ke kernel Linux yang sedang berjalan tanpa me-reboot atau mengganggu aplikasi yang sedang berjalan. Selain itu, Kernel Live Patching dapat membantu meningkatkan ketersediaan aplikasi Anda sekaligus menjaga infrastruktur Anda tetap aman dan mutakhir.
AWS merilis dua jenis tambalan langsung kernel untuk AL2 023:
-
Pembaruan keamanan - Sertakan pembaruan untuk kerentanan dan eksposur umum Linux ()CVE. Pembaruan ini biasanya dinilai sebagai penting atau kritis menggunakan penilaian Amazon Linux Security Advisory. Mereka umumnya memetakan ke Common Vulnerability Scoring System (CVSS) skor 7 dan lebih tinggi. Dalam beberapa kasus, AWS mungkin memberikan pembaruan sebelum CVE ditetapkan. Dalam kasus ini, patch mungkin muncul sebagai perbaikan bug.
-
Perbaikan bug - Sertakan perbaikan untuk bug kritis dan masalah stabilitas yang tidak terkait dengannya. CVEs
AWS menyediakan tambalan langsung kernel untuk versi kernel AL2 023 hingga 3 bulan setelah dirilis. Setelah periode ini, Anda harus memperbarui ke versi kernel yang lebih baru untuk terus menerima patch langsung kernel.
AL2023 kernel live patch tersedia sebagai RPM paket yang ditandatangani di repositori AL2 023 yang ada. Patch dapat diinstal pada instance individual menggunakan alur kerja manajer DNF paket yang ada. Atau, mereka dapat diinstal pada sekelompok instance terkelola menggunakan AWS Systems Manager.
Kernel Live Patching pada AL2 023 disediakan tanpa biaya tambahan.
Batasan
Saat menerapkan kernel live patch, Anda tidak dapat melakukan hibernasi, menggunakan alat debugging lanjutan (sepertiSystemTap
,, dan alat eBPF
berbasis)kprobes
, atau mengakses file ftrace
output yang digunakan oleh infrastruktur Kernel Live Patching.
Konfigurasi dan prasyarat yang didukung
Kernel Live Patching didukung pada EC2 instans Amazon dan mesin virtual lokal yang menjalankan 023. AL2
Untuk menggunakan Kernel Live Patching pada AL2 023, Anda harus menggunakan yang berikut ini:
-
Sebuah 64-bit
x86_64
atauARM64
arsitektur -
Versi kernel
6.1
Persyaratan kebijakan
Untuk mengunduh paket dari AL2 023 repositori, Amazon EC2 memerlukan akses ke bucket Amazon S3 milik layanan. Jika Anda menggunakan titik akhir Amazon Virtual Private Cloud (VPC) untuk Amazon S3 di lingkungan Anda, pastikan kebijakan titik akhir VPC Anda mengizinkan akses ke bucket publik tersebut. Tabel berikut menjelaskan bucket Amazon S3 yang EC2 mungkin perlu diakses Amazon untuk Kernel Live Patching.
Ember S3 ARN | Deskripsi |
---|---|
arn:aws:s3: ::al2023-repo- |
Bucket Amazon S3 berisi AL2 023 repositori |
Menggunakan Kernel Live Patching
Anda dapat mengaktifkan dan menggunakan Kernel Live Patching pada instance individual menggunakan baris perintah pada instance itu sendiri. Atau, Anda dapat mengaktifkan dan menggunakan Kernel Live Patching pada sekelompok instance terkelola menggunakan AWS Systems Manager.
Bagian berikut ini menjelaskan cara mengaktifkan dan menggunakan Kernel Live Patching pada tiap instans menggunakan baris perintah.
Untuk informasi selengkapnya tentang mengaktifkan dan menggunakan Kernel Live Patching pada sekelompok instance terkelola, lihat Menggunakan Kernel Live Patching pada AL2 023 instance di Panduan Pengguna.AWS Systems Manager
Topik
Mengaktifkan Kernel Live Patching
Kernel Live Patching dinonaktifkan secara default pada AL2 023. Untuk menggunakan live patching, Anda harus menginstal DNFplugin untuk Kernel Live Patching dan mengaktifkan fungsi patching langsung.
Untuk mengaktifkan Kernel Live Patching
-
Kernel live patch tersedia untuk AL2 023 dengan versi kernel.
6.1
Untuk memeriksa versi kernel Anda, jalankan perintah berikut.$
sudo dnf list kernel
-
Instal DNFplugin untuk Kernel Live Patching.
$
sudo dnf install -y kpatch-dnf
-
Aktifkan DNFplugin untuk Kernel Live Patching.
$
sudo dnf kernel-livepatch -y auto
Perintah ini juga menginstal versi terbaru dari kernel live patch RPM dari repositori yang dikonfigurasi.
-
Untuk mengonfirmasi bahwa DNFplugin untuk kernel live patching berhasil diinstal, jalankan perintah berikut.
Saat Anda mengaktifkan Kernel Live Patching, tambalan langsung kernel kosong RPM diterapkan secara otomatis. Jika Kernel Live Patching berhasil diaktifkan, perintah ini mengembalikan daftar yang menyertakan patch RPM live kernel kosong awal.
$
sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64
-
Menginstal paket kpatch.
$
sudo dnf install -y kpatch-runtime
-
Perbarui layanan kpatch jika telah diinstal sebelumnya.
$
sudo dnf upgrade kpatch-runtime
-
Mulai layanan kpatch. Layanan ini memuat semua live patch kernel saat inisialisasi atau boot.
$
sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service
Tampilkan live patch kernel yang tersedia
Peringatan keamanan Amazon Linux diterbitkan ke Pusat Keamanan Amazon Linux. Untuk informasi selengkapnya tentang peringatan keamanan AL2 023, termasuk peringatan untuk tambalan langsung kernel, lihat Pusat Keamanan AmazonALASLIVEPATCH
. Pusat Keamanan Amazon Linux mungkin tidak mencantumkan live patch kernel yang menangani bug.
Anda juga dapat menemukan patch langsung kernel yang tersedia untuk saran dan CVEs menggunakan baris perintah.
Untuk mencantumkan semua live patch kernel yang tersedia untuk advisori
Gunakan perintah berikut ini.
$
sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC. ALAS2LIVEPATCH-2021-123 important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64 ALAS2LIVEPATCH-2022-124 important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Untuk mencantumkan semua tambalan langsung kernel yang tersedia untuk CVEs
Gunakan perintah berikut ini.
$
sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC. CVE-2022-0123 important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64 CVE-2022-3210 important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Terapkan live patch kernel
Anda menerapkan kernel live patch menggunakan manajer DNFpaket dengan cara yang sama seperti Anda menerapkan pembaruan rutin. DNFPlugin untuk Kernel Live Patching mengelola patch langsung kernel yang Anda terapkan dan menghilangkan kebutuhan untuk reboot.
Tip
Kami menyarankan Anda memperbarui kernel Anda secara teratur menggunakan Kernel Live Patching untuk mencapai bahwa kernel tetap aman dan up to date.
Anda dapat memilih untuk menerapkan live patch kernel tertentu, atau untuk menerapkan live patch kernel yang tersedia bersama dengan pembaruan keamanan rutin Anda.
Untuk menerapkan live patch kernel tertentu
-
Dapatkan versi live patch kernel menggunakan salah satu perintah yang dijelaskan di Tampilkan live patch kernel yang tersedia.
-
Terapkan kernel live patch untuk kernel AL2 023 Anda.
$
sudo dnf install kernel-livepatch-
kernel_version
-package_version
.amzn2023.x86_64Misalnya, perintah berikut menerapkan kernel live patch untuk versi kernel AL2 023
6.1.12-17.42
$
sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
Untuk menerapkan live patch kernel yang tersedia dengan pembaruan keamanan rutin Anda
Gunakan perintah berikut.
$
sudo dnf upgrade --security
Hilangkan opsi --security
untuk memasukkan perbaikan bug.
penting
-
Versi kernel tidak diperbarui setelah menerapkan tambalan langsung kernel. Versi ini hanya diperbarui ke versi baru setelah instans di-boot ulang.
-
Kernel AL2 023 menerima tambalan langsung kernel selama 3 bulan. Setelah periode ini, tidak ada patch live kernel baru yang dirilis untuk versi kernel tersebut.
-
Untuk terus menerima patch langsung kernel setelah 3 bulan, Anda harus me-reboot instance untuk pindah ke versi kernel baru. Instans terus menerima patch langsung kernel selama 3 bulan ke depan setelah Anda memperbaruinya.
-
Untuk memeriksa jendela dukungan untuk versi kernel Anda, jalankan perintah berikut:
$
sudo dnf kernel-livepatch support
Melihat live patch kernel yang diterapkan
Untuk melihat live patch kernel yang diterapkan
Gunakan perintah berikut.
$
sudo kpatch list
Loaded patch modules: livepatch_CVE_2022_36946 [enabled] Installed patch modules: livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64) livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)
Perintah ini mengembalikan daftar live patch kernel pembaruan keamanan yang dimuat dan diinstal. Berikut ini adalah contoh output.
catatan
Satu live patch kernel dapat menyertakan dan menginstal beberapa live patch.
Menonaktifkan Kernel Live Patching
Jika Anda tidak perlu lagi menggunakan Kernel Live Patching, Anda dapat menonaktifkannya kapan saja.
-
Nonaktifkan penggunaanlivepatches:
-
Nonaktifkan plugin:
$
sudo dnf kernel-livepatch manual
-
Nonaktifkan kpatch layanan:
$
sudo systemctl disable --now kpatch.service
-
-
Hapus livepatch alat sepenuhnya:
-
Hapus plugin:
$
sudo dnf remove kpatch-dnf
-
Hapuskpatch-runtime:
$
sudo dnf remove kpatch-runtime
-
Hapus semua yang diinstallivepatches:
$
sudo dnf remove kernel-livepatch\*
-