Utilizzo Kernel Live Patching su Amazon Linux 2 nodi gestiti - AWS Systems Manager
Kernel Live Patching  utilizzo di  Patch ManagerIn che modo Kernel Live Patching utilizzo di Patch Manager funzionamento

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo Kernel Live Patching su Amazon Linux 2 nodi gestiti

Kernel Live Patching per Amazon Linux 2 consente di applicare vulnerabilità di sicurezza e patch di bug critici a un kernel Linux in esecuzione senza riavvii o interruzioni delle applicazioni in esecuzione. Ciò consente di beneficiare di una maggiore disponibilità dell'applicazione e di un servizio migliorato, mantenendo al contempo l'infrastruttura aggiornata e protetta. Kernel Live Patching è supportato su EC2 istanze Amazon, dispositivi AWS IoT Greengrass principali e macchine virtuali locali che eseguono Amazon Linux 2.

Per informazioni generali su Kernel Live Patching, vedi Kernel Live Patching su Amazon Linux 2 nella Amazon EC2 User Guide.

Dopo l'accensione Kernel Live Patching su un nodo gestito Amazon Linux 2, puoi usare Patch Manager, una capacità di AWS Systems Manager, per applicare le patch live del kernel al nodo gestito. Utilizzo Patch Manager è un'alternativa all'utilizzo dei flussi di lavoro yum esistenti sul nodo per applicare gli aggiornamenti.

Prima di iniziare

Per utilizzare Patch Manager per applicare le patch live del kernel ai nodi gestiti di Amazon Linux 2, assicurati che i nodi siano basati sull'architettura e sulla versione del kernel corrette. Per informazioni, consulta Configurazioni e prerequisiti supportati nella Amazon EC2 User Guide.

Argomenti

Kernel Live Patching  utilizzo di  Patch Manager

Aggiornamento della versione del kernel

Non è necessario riavviare un nodo gestito dopo aver applicato un aggiornamento della patch live del kernel. Tuttavia, AWS fornisce patch live del kernel per una versione del kernel Amazon Linux 2 per un massimo di tre mesi dopo il suo rilascio. Dopo il periodo di tre mesi, è necessario eseguire l'aggiornamento a una versione del kernel successiva per continuare a ricevere patch live del kernel. Ti consigliamo di utilizzare una finestra di manutenzione per pianificare un riavvio del nodo almeno una volta ogni tre mesi per richiedere l'aggiornamento della versione del kernel.

Disinstallazione delle patch live del kernel

Le patch live del kernel non possono essere disinstallate utilizzando Patch Manager. Invece, puoi disattivare Kernel Live Patching, che rimuove i RPM pacchetti per le patch live del kernel applicate. Per ulteriori informazioni, consulta Disattivazione di Kernel Live Patching tramite Run Command.

Conformità del kernel

In alcuni casi, l'installazione di tutte le CVE correzioni da live patch per la versione corrente del kernel può portare il kernel allo stesso stato di conformità che avrebbe una versione più recente. Quando ciò accade, la versione più recente viene segnalata come Installed e il nodo gestito restituito come Compliant. Tuttavia, non viene restituita l'ora di installazione per la versione più recente del kernel.

Una patch live del kernel, più CVEs

Se una patch live del kernel riguarda più CVEs patch e queste CVEs hanno diversi valori di classificazione e gravità, per la patch CVEs viene riportata solo la classificazione e la gravità più elevate tra le altre.

Il resto di questa sezione descrive come usare Patch Manager per applicare le patch live del kernel ai nodi gestiti che soddisfano questi requisiti.

In che modo Kernel Live Patching utilizzo di Patch Manager funzionamento

AWS rilascia due tipi di patch live del kernel per Amazon Linux 2: aggiornamenti di sicurezza e correzioni di bug. Per applicare questi tipi di patch, utilizzare un documento della base di patch destinato solo alle classificazioni e alle severità elencate nella tabella seguente.

Classificazione Gravità
Security Critical, Important
Bugfix All

Puoi creare una base di patch personalizzata destinata solo a queste patch oppure utilizzare la base di patch AWS-AmazonLinux2DefaultPatchBaseline predefinita. In altre parole, è possibile utilizzare AWS-AmazonLinux2DefaultPatchBaseline con Amazon Linux 2 nodi gestiti su cui Kernel Live Patching è acceso e verranno applicati gli aggiornamenti live del kernel.

Nota

La configurazione AWS-AmazonLinux2DefaultPatchBaseline specifica un periodo di attesa di 7 giorni dopo il rilascio o l'ultimo aggiornamento di una patch prima dell'installazione automatica. Se non si desidera attendere 7 giorni per l'approvazione automatica delle patch live del kernel, è possibile creare e utilizzare una patch di base personalizzata. Nella base di patch, è possibile specificare nessun periodo di attesa per l'approvazione automatica o specificarne uno più breve o più lungo. Per ulteriori informazioni, consulta Utilizzo delle basi di patch personalizzate.

Ti consigliamo la seguente strategia per applicare patch ai nodi gestiti con aggiornamenti live del kernel:

  1. Accendi Kernel Live Patching sui tuoi nodi gestiti Amazon Linux 2.

  2. Utilizzo Run Command, una capacità di AWS Systems Manager eseguire un'Scanoperazione sui nodi gestiti utilizzando la patch di base predefinita AWS-AmazonLinux2DefaultPatchBaseline o personalizzata che si rivolge anche solo agli Security aggiornamenti con gravità classificata come Critical eImportant, e la Bugfix gravità di. All

  3. Utilizza Compliance, una funzionalità di AWS Systems Manager, per verificare se viene segnalata la non conformità per l'applicazione di patch per uno qualsiasi dei nodi gestiti sottoposti a scansione. In caso affermativo, visualizza i dettagli della conformità del nodo per determinare se alcune patch live del kernel mancano dal nodo gestito.

  4. Per installare le patch live del kernel mancanti, usa Run Command con la stessa patch di base specificata in precedenza, ma questa volta esegui un'Installoperazione anziché un'operazione. Scan

    Poiché le patch live del kernel vengono installate senza la necessità di riavviare, puoi scegliere l'opzione di riavvio NoReboot per questa operazione.

    Nota

    È comunque possibile riavviare il nodo gestito se necessario per altri tipi di patch installati nel nodo o se vuoi eseguire l'aggiornamento a un kernel più recente. In questi casi, scegli invece l'opzione di riavvio RebootIfNeeded.

  5. Torna a Conformità per verificare che le patch live del kernel siano state installate.