Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Penggunaan Kernel Live Patching di Amazon Linux 2 node yang dikelola
Kernel Live Patching untuk Amazon Linux 2 memungkinkan Anda menerapkan kerentanan keamanan dan patch bug kritis ke kernel Linux yang sedang berjalan tanpa reboot atau gangguan pada aplikasi yang sedang berjalan. Hal ini memungkinkan Anda mendapatkan manfaat dari layanan dan ketersediaan aplikasi yang lebih baik, sekaligus menjaga infrastruktur Anda tetap aman dan terkini. Kernel Live Patching didukung pada EC2 instans Amazon, perangkat AWS IoT Greengrass inti, dan mesin virtual lokal yang menjalankan Amazon Linux 2.
Untuk informasi umum tentang Kernel Live Patching, lihat Kernel Live Patching di Amazon Linux 2 di Panduan EC2 Pengguna Amazon.
Setelah Anda menghidupkan Kernel Live Patching pada node terkelola Amazon Linux 2, Anda dapat menggunakan Patch Manager, kemampuan AWS Systems Manager, untuk menerapkan patch langsung kernel ke node yang dikelola. Penggunaan Patch Manager adalah alternatif untuk menggunakan alur kerja yum yang ada di node untuk menerapkan pembaruan.
Sebelum Anda mulai
Untuk menggunakan Patch Manager untuk menerapkan tambalan langsung kernel ke node terkelola Amazon Linux 2 Anda, pastikan node Anda didasarkan pada arsitektur dan versi kernel yang benar. Untuk selengkapnya, lihat Konfigurasi dan prasyarat yang didukung di Panduan Pengguna Amazon. EC2
Topik
Kernel Live Patching memakai Patch Manager
- Memperbarui versi kernel
-
Anda tidak perlu me-reboot node terkelola setelah menerapkan pembaruan patch langsung kernel. Namun, AWS menyediakan tambalan langsung kernel untuk versi kernel Amazon Linux 2 hingga tiga bulan setelah dirilis. Setelah periode tiga bulan, Anda harus memperbarui ke versi kernel berikutnya untuk terus menerima patch live kernel. Sebaiknya gunakan jendela pemeliharaan untuk menjadwalkan reboot node Anda setidaknya sekali setiap tiga bulan untuk meminta pembaruan versi kernel.
- Menghapus instalasi patch live kernel
-
Patch langsung kernel tidak dapat dihapus menggunakan Patch Manager. Sebagai gantinya, Anda dapat mematikan Kernel Live Patching, yang menghapus RPM paket untuk patch langsung kernel yang diterapkan. Untuk informasi selengkapnya, lihat Mematikan Kernel Live Patching menggunakan Run Command.
- Kepatuhan kernel
-
Dalam beberapa kasus, menginstal semua CVE perbaikan dari tambalan langsung untuk versi kernel saat ini dapat membawa kernel tersebut ke status kepatuhan yang sama dengan yang dimiliki versi kernel yang lebih baru. Ketika itu terjadi, versi yang lebih baru dilaporkan sebagai
Installed, dan node terkelola dilaporkan sebagaiCompliant. Namun, tidak ada waktu instalasi yang dilaporkan untuk versi kernel yang lebih baru. - Satu tambalan langsung kernel, banyak CVEs
-
Jika tambalan langsung kernel menangani beberapaCVEs, dan itu CVEs memiliki berbagai nilai klasifikasi dan tingkat keparahan, hanya klasifikasi dan tingkat keparahan tertinggi dari antara CVEs yang dilaporkan untuk tambalan.
Sisa bagian ini menjelaskan cara menggunakan Patch Manager untuk menerapkan patch langsung kernel ke node terkelola yang memenuhi persyaratan ini.
Bagaimana Kernel Live Patching memakai Patch Manager cara kerja
AWS merilis dua jenis tambalan langsung kernel untuk Amazon Linux 2: pembaruan keamanan dan perbaikan bug. Untuk menerapkan kedua jenis patch tersebut, Anda menggunakan dokumen dasar patch yang menargetkan hanya klasifikasi dan kepelikan yang tercantum dalam tabel berikut.
| Klasifikasi | Kepelikan |
|---|---|
Security |
Critical, Important |
Bugfix |
All |
Anda dapat membuat dasar patch kustom yang menargetkan hanya patch ini, atau menggunakan dasar patch AWS-AmazonLinux2DefaultPatchBaseline yang telah ditentukan. Dengan kata lain, Anda dapat menggunakan AWS-AmazonLinux2DefaultPatchBaseline dengan node terkelola Amazon Linux 2 di mana Kernel Live Patching diaktifkan, dan pembaruan langsung kernel akan diterapkan.
catatan
AWS-AmazonLinux2DefaultPatchBaselineKonfigurasi menentukan masa tunggu 7 hari setelah patch dirilis atau terakhir diperbarui sebelum diinstal secara otomatis. Jika Anda tidak ingin menunggu 7 hari agar tambalan langsung kernel disetujui secara otomatis, Anda dapat membuat dan menggunakan baseline patch khusus. Di dasar patch Anda, Anda dapat menentukan tidak ada periode tunggu persetujuan otomatis, atau menentukan waktu yang lebih pendek atau lebih lama. Untuk informasi selengkapnya, lihat Bekerja dengan dasar patch kustom.
Kami merekomendasikan strategi berikut untuk menambal node terkelola Anda dengan pembaruan langsung kernel:
-
Nyalakan Kernel Live Patching di node terkelola Amazon Linux 2 Anda.
-
Gunakan Run Command, kemampuan AWS Systems Manager, untuk menjalankan
Scanoperasi pada node terkelola Anda menggunakan baseline patch yang telah ditentukanAWS-AmazonLinux2DefaultPatchBaselineatau kustom yang juga menargetkan hanyaSecuritypembaruan dengan tingkat keparahan yang diklasifikasikan sebagaiCriticaldanImportant, dan tingkat keparahanBugfix.All -
Gunakan Kepatuhan, kemampuan AWS Systems Manager, untuk meninjau apakah ketidakpatuhan untuk patching dilaporkan untuk salah satu node terkelola yang dipindai. Jika demikian, lihat detail kepatuhan node untuk menentukan apakah patch langsung kernel hilang dari node terkelola.
-
Untuk menginstal tambalan langsung kernel yang hilang, gunakan Run Command dengan garis dasar tambalan yang sama yang Anda tentukan sebelumnya, tetapi kali ini jalankan
Installoperasi alih-alih operasi.ScanKarena patch live kernel diinstal tanpa perlu reboot, Anda dapat memilih opsi reboot
NoRebootuntuk operasi ini.catatan
Anda masih dapat me-reboot node terkelola jika diperlukan untuk jenis tambalan lain yang diinstal di dalamnya, atau jika Anda ingin memperbarui ke kernel yang lebih baru. Dalam kasus ini, pilih opsi reboot
RebootIfNeededsebagai gantinya. -
Kembali ke Kepatuhan untuk memverifikasi bahwa patch live kernel telah diinstal.
