Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Kernel Live Patching pada 023 AL2

PDF
RSS
Mode fokus
Kernel Live Patching pada 023 AL2 - Amazon Linux 2023
BatasanKonfigurasi dan prasyarat yang didukungMenggunakan Kernel Live Patching

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Anda dapat menggunakan Kernel Live Patching untuk AL2 023 untuk menerapkan kerentanan keamanan tertentu dan patch bug kritis ke kernel Linux yang sedang berjalan tanpa me-reboot atau mengganggu aplikasi yang sedang berjalan. Selain itu, Kernel Live Patching dapat membantu meningkatkan ketersediaan aplikasi Anda saat menerapkan perbaikan ini hingga sistem dapat di-boot ulang.

AWS merilis dua jenis tambalan langsung kernel untuk AL2 023:

  • Pembaruan keamanan – Termasuk pembaruan untuk kerentanan dan eksposur umum (CVE) Linux. Pembaruan ini biasanya dinilai sebagai penting atau kritis menggunakan penilaian Amazon Linux Security Advisory. Secara umum, sistem ini memetakan skor Common Vulnerability Scoring System (CVSS) sebesar 7 atau lebih. Dalam beberapa kasus, AWS mungkin memberikan pembaruan sebelum CVE ditetapkan. Dalam kasus ini, patch mungkin muncul sebagai perbaikan bug.

  • Perbaikan bug - Sertakan perbaikan untuk bug kritis dan masalah stabilitas yang tidak terkait dengannya. CVEs

AWS menyediakan tambalan langsung kernel untuk versi kernel AL2 023 hingga 3 bulan setelah dirilis. Setelah periode ini, Anda harus memperbarui ke versi kernel yang lebih baru untuk terus menerima patch langsung kernel.

AL2023 kernel live patch tersedia sebagai paket RPM yang ditandatangani di repositori AL2 023 yang ada. Patch dapat diinstal pada instance individual menggunakan alur kerja manajer paket DNF yang ada. Atau, mereka dapat diinstal pada sekelompok instance terkelola menggunakan AWS Systems Manager.

Kernel Live Patching pada AL2 023 disediakan tanpa biaya tambahan.

Batasan

Saat menerapkan kernel live patch, Anda tidak dapat melakukan hibernasi, menggunakan alat debugging lanjutan (sepertiSystemTap,, dan alat eBPF berbasis)kprobes, atau mengakses file ftrace output yang digunakan oleh infrastruktur Kernel Live Patching.

catatan

Karena keterbatasan teknis, beberapa masalah tidak dapat diatasi dengan penambalan langsung. Karena itu, perbaikan ini tidak akan dikirimkan dalam paket kernel live patch tetapi hanya dalam pembaruan paket kernel asli. Anda dapat menginstal paket kernel asli dan memperbarui dan me-reboot sistem untuk mengaktifkan tambalan seperti biasa.

Konfigurasi dan prasyarat yang didukung

Kernel Live Patching didukung pada EC2 instans Amazon dan mesin virtual lokal yang menjalankan 023. AL2

Untuk menggunakan Kernel Live Patching pada AL2 023, Anda harus menggunakan yang berikut ini:

  • Sebuah 64-bit x86_64 atau ARM64 arsitektur

  • Versi kernel 6.1

Persyaratan kebijakan

Untuk mengunduh paket dari AL2 023 repositori, Amazon EC2 memerlukan akses ke bucket Amazon S3 milik layanan. Jika Anda menggunakan titik akhir Amazon Virtual Private Cloud (VPC) untuk Amazon S3 di lingkungan Anda, pastikan kebijakan titik akhir VPC Anda memungkinkan akses ke bucket publik tersebut. Tabel berikut menjelaskan bucket Amazon S3 yang EC2 mungkin perlu diakses Amazon untuk Kernel Live Patching.

Bucket S3 ARN Deskripsi

arn:aws:s3: ::al2023-repo- -de612dc2/* region

Bucket Amazon S3 berisi AL2 023 repositori

Menggunakan Kernel Live Patching

Anda dapat mengaktifkan dan menggunakan Kernel Live Patching pada instance individual menggunakan baris perintah pada instance itu sendiri. Atau, Anda dapat mengaktifkan dan menggunakan Kernel Live Patching pada sekelompok instance terkelola menggunakan AWS Systems Manager.

Bagian berikut ini menjelaskan cara mengaktifkan dan menggunakan Kernel Live Patching pada tiap instans menggunakan baris perintah.

Untuk informasi selengkapnya tentang mengaktifkan dan menggunakan Kernel Live Patching pada sekelompok instance terkelola, lihat Menggunakan Kernel Live Patching pada AL2 023 instance di Panduan Pengguna.AWS Systems Manager

Mengaktifkan Kernel Live Patching

Kernel Live Patching dinonaktifkan secara default pada AL2 023. Untuk menggunakan live patching, Anda harus menginstal plugin DNF untuk Kernel Live Patching dan mengaktifkan fungsi patching langsung.

Untuk mengaktifkan Kernel Live Patching

  1. Kernel live patch tersedia untuk AL2 023 dengan versi kernel. 6.1 Untuk memeriksa versi kernel Anda, jalankan perintah berikut.

    $ sudo dnf list kernel

  2. Instal plugin DNF untuk Kernel Live Patching.

    $ sudo dnf install -y kpatch-dnf

  3. Aktifkan plugin DNF untuk Kernel Live Patching.

    $ sudo dnf kernel-livepatch -y auto

    Perintah ini juga menginstal versi terbaru RPM live patch kernel dari repositori yang dikonfigurasi.

  4. Untuk mengonfirmasi bahwa plugin DNF untuk kernel live patching berhasil diinstal, jalankan perintah berikut.

    Saat Anda mengaktifkan Kernel Live Patching, RPM live patch kernel yang kosong secara otomatis diterapkan. Jika Kernel Live Patching berhasil diaktifkan, perintah ini mengembalikan daftar yang mencakup RPM patch aktif kernel kosong awal.

    $ sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch
kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64

  5. Instal paket kpatch.

    $ sudo dnf install -y kpatch-runtime

  6. Perbarui layanan kpatch jika telah diinstal sebelumnya. 

    $ sudo dnf upgrade kpatch-runtime

  7. Mulai layanan kpatch. Layanan ini memuat semua live patch kernel saat inisialisasi atau boot. 

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

Tampilkan live patch kernel yang tersedia

Peringatan keamanan Amazon Linux diterbitkan ke Pusat Keamanan Amazon Linux. Untuk informasi selengkapnya tentang peringatan keamanan AL2 023, termasuk peringatan untuk tambalan langsung kernel, lihat Pusat Keamanan Amazon Linux. Live patch kernel diawali dengan ALASLIVEPATCH. Pusat Keamanan Amazon Linux mungkin tidak mencantumkan live patch kernel yang menangani bug.

Anda juga dapat menemukan patch langsung kernel yang tersedia untuk saran dan CVEs menggunakan baris perintah.

Untuk mencantumkan semua live patch kernel yang tersedia untuk advisori

Gunakan perintah berikut ini.

$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Untuk mencantumkan semua tambalan langsung kernel yang tersedia untuk CVEs

Gunakan perintah berikut ini.

$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Terapkan live patch kernel

Anda menerapkan patch langsung kernel menggunakan manajer paket DNF dengan cara yang sama seperti Anda menerapkan pembaruan rutin. Plugin DNF untuk Kernel Live Patching mengelola patch langsung kernel yang tersedia untuk diterapkan.

Tip

Kami menyarankan Anda memperbarui kernel Anda secara teratur menggunakan Kernel Live Patching untuk memastikan bahwa kernel menerima perbaikan keamanan penting dan kritis tertentu hingga sistem dapat di-boot ulang. Harap periksa juga apakah perbaikan tambahan telah tersedia untuk paket kernel asli yang tidak dapat digunakan sebagai tambalan langsung dan pembaruan dan reboot ke pembaruan kernel untuk kasus tersebut.

Anda dapat memilih untuk menerapkan live patch kernel tertentu, atau untuk menerapkan live patch kernel yang tersedia bersama dengan pembaruan keamanan rutin Anda.

Untuk menerapkan live patch kernel tertentu

  1. Dapatkan versi live patch kernel menggunakan salah satu perintah yang dijelaskan di Tampilkan live patch kernel yang tersedia.

  2. Terapkan kernel live patch untuk kernel AL2 023 Anda.

    $ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64

    Misalnya, perintah berikut menerapkan kernel live patch untuk versi kernel AL2 023 6.1.12-17.42

    $ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
Untuk menerapkan live patch kernel yang tersedia dengan pembaruan keamanan rutin Anda

Gunakan perintah berikut.

$ sudo dnf upgrade --security

Hilangkan opsi --security untuk memasukkan perbaikan bug.

penting

  • Versi kernel tidak diperbarui setelah menerapkan tambalan langsung kernel. Versi ini hanya diperbarui ke versi baru setelah instans di-boot ulang.

  • Kernel AL2 023 menerima tambalan langsung kernel selama 3 bulan. Setelah periode ini, tidak ada patch live kernel baru yang dirilis untuk versi kernel tersebut.

  • Untuk terus menerima patch langsung kernel setelah 3 bulan, Anda harus me-reboot instance untuk pindah ke versi kernel baru. Instans terus menerima patch langsung kernel selama 3 bulan ke depan setelah Anda memperbaruinya.

  • Untuk memeriksa jendela dukungan untuk versi kernel Anda, jalankan perintah berikut:

    $ sudo dnf kernel-livepatch support

Melihat live patch kernel yang diterapkan

Untuk melihat live patch kernel yang diterapkan

Gunakan perintah berikut.

$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

Perintah ini mengembalikan daftar live patch kernel pembaruan keamanan yang dimuat dan diinstal. Berikut ini adalah contoh output.

catatan

Satu live patch kernel dapat menyertakan dan menginstal beberapa live patch.

Menonaktifkan Kernel Live Patching

Jika Anda tidak perlu lagi menggunakan Kernel Live Patching, Anda dapat menonaktifkannya kapan saja.

  • Nonaktifkan penggunaan livepatches:

    1. Nonaktifkan plugin: 

      $ sudo dnf kernel-livepatch manual

    2. Nonaktifkan kpatch layanan: 

      $ sudo systemctl disable --now kpatch.service

  • Hapus sepenuhnya livepatch alat:

    1. Hapus plugin:

      $ sudo dnf remove kpatch-dnf

    2. Menghapus kpatch-runtime:

      $ sudo dnf remove kpatch-runtime

    3. Hapus semua yang diinstal livepatches:

      $ sudo dnf remove kernel-livepatch\*

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.