Utilizzo di Kernel Live Patching su nodi gestiti Amazon Linux 2
Kernel Live Patching per Amazon ti consente di applicare patch di vulnerabilità della sicurezza e di bug critici a un kernel Linux in esecuzione, senza riavvii o interruzioni delle applicazioni in esecuzione. Questo ti permette una maggiore disponibilità di servizi e applicazioni, mantenendo al contempo la sicurezza e l'aggiornamento dell'infrastruttura. Kernel Live Patching è supportato nelle istanze Amazon EC2, nei dispositivi core AWS IoT Greengrass nelle macchine virtuali on-premise che utilizzano Amazon Linux 2.
Per informazioni generali su Kernel Live Patching, consulta Kernel Live Patching su AL2 nella Guida per l'utente di Amazon Linux 2.
Dopo aver attivato Kernel Live Patching su un nodo gestito Amazon Linux 2, è possibile usare Patch Manager, uno strumento di AWS Systems Manager, per applicare patch live del kernel al nodo gestito. L'utilizzo di Patch Manager per applicare gli aggiornamenti è un'alternativa ai flussi di lavoro yum nel nodo.
Prima di iniziare
Per utilizzare Patch Manager per applicare patch live del kernel ai nodi gestiti di Amazon Linux 2, assicurati che i nodi siano basati sull'architettura e sulla versione del kernel corrette. Per informazioni, consulta Configurazioni e prerequisiti supportati nelle istanze Guida per l'utente di Amazon EC2.
Argomenti
Kernel Live Patching utilizza Patch Manager
- Aggiornamento della versione del kernel
-
Non è necessario riavviare un nodo gestito dopo aver applicato un aggiornamento della patch live del kernel. Tuttavia, AWS fornisce patch live del kernel per una versione del kernel Amazon Linux 2 per un massimo di tre mesi dopo il suo rilascio. Dopo il periodo di tre mesi, è necessario eseguire l'aggiornamento a una versione del kernel successiva per continuare a ricevere patch live del kernel. Ti consigliamo di utilizzare una finestra di manutenzione per pianificare un riavvio del nodo almeno una volta ogni tre mesi per richiedere l'aggiornamento della versione del kernel.
- Disinstallazione delle patch live del kernel
-
Le patch live del kernel non possono essere disinstallate utilizzando Patch Manager. È possibile invece disabilitare Kernel Live Patching, che rimuove i pacchetti RPM per le patch live del kernel applicate. Per ulteriori informazioni, consulta Disattivazione di Kernel Live Patching tramite Run Command.
- Conformità del kernel
-
In alcuni casi, l'installazione di tutte le correzioni CVE dalle patch live per la versione corrente del kernel può far sì che il kernel sia stesso stato di conformità di una versione più recente. Quando ciò accade, la versione più recente viene segnalata come
Installede il nodo gestito restituito comeCompliant. Tuttavia, non viene restituita l'ora di installazione per la versione più recente del kernel. - Una patch live del kernel, più CVE
-
Se una patch live del kernel risolve più CVE e queste CVE hanno diversi valori di classificazione e gravità, per la patch viene restituita solo la classificazione e la gravità più elevate tra le CVE.
Nella parte restante di questa sezione viene descritto come utilizzare Patch Manager per applicare patch live del kernel ai nodi gestiti che soddisfano questi requisiti.
Come Kernel Live Patching utilizza Patch Manager
AWS rilascia due tipi di patch live del kernel per Amazon Linux 2: aggiornamenti di sicurezza e correzioni di bug. Per applicare questi tipi di patch, utilizzare un documento della base di patch destinato solo alle classificazioni e alle severità elencate nella tabella seguente.
| Classificazione | Gravità |
|---|---|
Security |
Critical, Important |
Bugfix |
All |
È possibile creare una base di patch personalizzata destinata solo a queste patch oppure utilizzare la base di patch AWS-AmazonLinux2DefaultPatchBaseline predefinita. In altre parole, è possibile utilizzare AWS-AmazonLinux2DefaultPatchBaseline con i nodi gestiti Amazon Linux 2 in cui è abilitato Kernel Live Patching per applicare gli aggiornamenti live del kernel.
Nota
La configurazione AWS-AmazonLinux2DefaultPatchBaseline specifica un periodo di attesa di 7 giorni dopo il rilascio o l'ultimo aggiornamento di una patch prima dell'installazione automatica. Se non si desidera attendere 7 giorni per l'approvazione automatica delle patch live del kernel, è possibile creare e utilizzare una patch di base personalizzata. Nella base di patch, è possibile specificare nessun periodo di attesa per l'approvazione automatica o specificarne uno più breve o più lungo. Per ulteriori informazioni, consulta Utilizzo delle basi di patch personalizzate.
Ti consigliamo la seguente strategia per applicare patch ai nodi gestiti con aggiornamenti live del kernel:
-
Attiva Kernel Live Patching sui nodi gestiti Amazon Linux 2.
-
Utilizza Run Command, uno strumento di AWS Systems Manager, per eseguire un'operazione
Scansui tuoi nodi gestiti utilizzando la base di patchAWS-AmazonLinux2DefaultPatchBaselinepredefinita o una base di patch personalizzata destinata solo agli aggiornamentiSecurityclassificati comeCriticaleImportant, e la gravitàBugfixdiAll. -
Utilizza Compliance, uno strumento di AWS Systems Manager per verificare se viene segnalata la non conformità dell'applicazione di patch per uno dei nodi gestiti sottoposti a scansione. In caso affermativo, visualizza i dettagli della conformità del nodo per determinare se alcune patch live del kernel mancano dal nodo gestito.
-
Per installare patch live del kernel mancanti, utilizza Run Command con la stessa base di patch specificata in precedenza, ma questa volta esegui un'operazione
Installinvece di un'operazioneScan.Poiché le patch live del kernel vengono installate senza la necessità di riavviare, è possibile scegliere l'opzione di riavvio
NoRebootper questa operazione.Nota
È comunque possibile riavviare il nodo gestito se necessario per altri tipi di patch installati nel nodo o se vuoi eseguire l'aggiornamento a un kernel più recente. In questi casi, scegli invece l'opzione di riavvio
RebootIfNeeded. -
Torna a Conformità per verificare che le patch live del kernel siano state installate.
