As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# O Kernel Live Patching está ativado AL2
**Importante**
O Amazon Linux encerrará a aplicação ativa de patches para o AL2 Kernel 4.14 em 31/10/2025. Os clientes são incentivados a usar o kernel 5.10 como o kernel padrão para AL2 (consulte os kernels [AL2 suportados) ou migrar para AL2023 os kernels](https://docs.aws.amazon.com/linux/al2/ug/aml2-kernel.html) 6.1 e 6.12.
O Amazon Linux fornecerá patches ativos para o AL2 Kernel 5.10 até o final da vida útil de 2026-06-30 AL2 .
O Kernel Live Patching for AL2 permite que você aplique vulnerabilidades de segurança específicas e patches de bugs críticos a um kernel Linux em execução, sem reinicializações ou interrupções na execução de aplicativos. Isso permite que você se beneficie de uma maior disponibilidade de serviços e aplicativos, aplicando essas correções até que o sistema possa ser reinicializado.
Para obter informações sobre o Kernel Live Patching for AL2023, consulte [Kernel Live Patching on no Guia AL2023 do usuário](https://docs.aws.amazon.com/linux/al2023/ug/live-patching.html) do *Amazon Linux 2023.*
AWS lança dois tipos de patches ativos do kernel para AL2:
+ **Security updates** (Atualizações de segurança): contêm atualizações para vulnerabilidades e exposições comuns (CVEs) do Linux. Normalmente, essas atualizações são classificadas como *importantes* ou *críticas* de acordo com as classificações do Boletim de segurança do Amazon Linux. Geralmente, elas são mapeadas com uma pontuação 7 ou maior do Common Vulnerability Scoring System (CVSS – Sistema de pontuação de vulnerabilidades comuns). Em alguns casos, AWS pode fornecer atualizações antes que um CVE seja atribuído. Nesses casos, os patches podem aparecer como correções de erros.
+ Correções de **bugs** — Inclui correções para bugs críticos e problemas de estabilidade que não estão associados CVEs a.
AWS fornece patches ativos do kernel para uma versão do AL2 kernel por até 3 meses após seu lançamento. Após o período de 3 meses, é necessário fazer a atualização para uma versão posterior do kernel para continuar a receber patches ao vivo do kernel.
AL2 os patches ativos do kernel são disponibilizados como pacotes RPM assinados nos AL2 repositórios existentes. Os patches podem ser instalados em instâncias individuais usando fluxos de trabalho existentes do **yum** ou podem ser instalados em um grupo de instâncias gerenciadas usando o AWS Systems Manager.
O Kernel Live Patching on AL2 é fornecido sem custo adicional.
**Topics**
+ [Configurações e pré-requisitos compatíveis](#al2-live-patching-prereq)
+ [Trabalhar com o Kernel Live Patching](#working-with-live-patching)
+ [Limitações](#al2-live-patching-limitations)
+ [Perguntas frequentes](#al2-live-patching-faq)
## Configurações e pré-requisitos compatíveis
O Kernel Live Patching é compatível com instâncias do Amazon EC2 [e máquinas virtuais locais em execução](amazon-linux-2-virtual-machine.md). AL2
Para usar o Kernel Live Patching ativado AL2, você deve usar:
+ Versão do kernel `4.14` ou `5.10` na arquitetura `x86_64`
+ Versão do kernel `5.10` na arquitetura `ARM64`
**Requisitos de política**
Para baixar pacotes dos repositórios Amazon Linux, o Amazon EC2 precisa acessar os buckets Amazon S3 de propriedade do serviço. Se estiver usando um endpoint da nuvem privada virtual (VPC) para o Amazon S3 em seu ambiente, será necessário garantir que sua política de endpoint da VPC permita acesso a esses buckets públicos.
A tabela descreve cada um dos buckets do Amazon S3 que o EC2 pode precisar para acessar o Kernel Live Patching.
| ARN do bucket do S3 | Description |
| --- | --- |
| arn:aws:s3: ::pacotes. region.amazonaws.com/\$1 | Bucket do Amazon S3 contendo pacotes do Amazon Linux AMI |
| arn:aws:s3: ::repo. region.amazonaws.com/\$1 | Bucket do Amazon S3 contendo repositórios do Amazon Linux AMI |
| arn:aws:s3: ::amazonlinux. region.amazonaws.com/\$1 | Bucket do Amazon S3 contendo repositórios AL2 |
| arn:aws:s3: ::amazonlinux-2-repos- /\$1 region | Bucket do Amazon S3 contendo repositórios AL2 |
A política a seguir ilustra como restringir o acesso a identidades e recursos que pertencem à sua organização e conceder acesso aos buckets do Amazon S3 necessários para o Kernel Live Patching. *region*Substitua *principal-org-id* e *resource-org-id* pelos valores da sua organização.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "principal-org-id",
"aws:ResourceOrgID": "resource-org-id"
}
}
},
{
"Sid": "AllowAccessToAmazonLinuxAMIRepositories",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::packages.region.amazonaws.com/*",
"arn:aws:s3:::repo.region.amazonaws.com/*",
"arn:aws:s3:::amazonlinux.region.amazonaws.com/*",
"arn:aws:s3:::amazonlinux-2-repos-region/*"
]
}
]
}
```
------
## Trabalhar com o Kernel Live Patching
Você pode ativar e usar o Kernel Live Patching em instâncias individuais usando a linha de comando na própria instância ou pode ativar e usar o Kernel Live Patching em um grupo de instâncias gerenciadas usando o Systems Manager. AWS
As seções a seguir explicam como habilitar e usar o Kernel Live Patching em instâncias individuais usando a linha de comando.
*Para obter mais informações sobre como ativar e usar o Kernel Live Patching em um grupo de instâncias gerenciadas, consulte [Usar o Kernel Live Patching em AL2 instâncias no Guia](https://docs.aws.amazon.com/systems-manager/latest/userguide/kernel-live-patching.html) do usuário.AWS Systems Manager *
**Topics**
+ [Habilitar o Kernel Live Patching](#al2-live-patching-enable)
+ [Visualizar os patches ao vivo do kernel disponíveis](#al2-live-patching-view-available)
+ [Aplicar patches ao vivo do kernel](#al2-live-patching-apply)
+ [Visualizar os patches ao vivo do kernel aplicados](#al2-live-patching-view)
+ [Desabilitar o Kernel Live Patching](#al2-live-patching-disable)
### Habilitar o Kernel Live Patching
O Kernel Live Patching está desativado por padrão em. AL2 Para usar a aplicação de patches ao vivo, é necessário instalar o plug-in **yum** para o Kernel Live Patching e habilitar a funcionalidade de aplicação de patches ao vivo.
**Pré-requisitos**
O Kernel Live Patching requer `binutils`. Se você não tiver `binutils` instalado, instale-o usando o seguinte comando:
```
$ sudo yum install binutils
```
**Como habilitar o Kernel Live Patching**
1. Os patches ativos do kernel estão disponíveis para as seguintes versões do AL2 kernel:
+ Versão do kernel `4.14` ou `5.10` na arquitetura `x86_64`
+ Versão do kernel `5.10` na arquitetura `ARM64`
Para verificar a versão do kernel, execute o comando a seguir.
```
$ sudo yum list kernel
```
1. Se você já tiver uma versão do kernel compatível, ignore esta etapa. Se você não tiver uma versão do kernel compatível, execute os comandos a seguir para atualizar o kernel para a versão mais recente e reinicializar a instância.
```
$ sudo yum install -y kernel
```
```
$ sudo reboot
```
1. Instale o plug-in **yum** para o Kernel Live Patching.
```
$ sudo yum install -y yum-plugin-kernel-livepatch
```
1. Habilite o plug-in **yum** para o Kernel Live Patching.
```
$ sudo yum kernel-livepatch enable -y
```
Este comando também instala a versão mais recente de RPM do patch ao vivo do kernel a partir dos repositórios configurados.
1. Para confirmar se o plug-in **yum** para a aplicação de patches ao vivo no kernel foi instalado com êxito, execute o comando a seguir.
```
$ rpm -qa | grep kernel-livepatch
```
Quando você habilita o Kernel Live Patching, um RPM de patch ao vivo do kernel vazio é aplicado automaticamente. Se o Kernel Live Patching tiver sido habilitado com êxito, este comando retornará uma lista que inclui o RPM do patch ao vivo do kernel vazio inicial. O seguinte é um exemplo de saída.
```
yum-plugin-kernel-livepatch-1.0-0.11.amzn2.noarch
kernel-livepatch-5.10.102-99.473-1.0-0.amzn2.x86_64
```
1. Instale o pacote **kpatch**.
```
$ sudo yum install -y kpatch-runtime
```
1. Atualize o serviço **kpatch**, caso tenha sido instalado anteriormente.
```
$ sudo yum update kpatch-runtime
```
1. Inicie o serviço **kpatch**. Este serviço carrega todos os patches ao vivo do kernel durante ou após a inicialização.
```
$ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service
```
1. Ative o tópico Kernel Live Patching na Biblioteca AL2 Extras. Este tópico contém os patches ao vivo do kernel.
```
$ sudo amazon-linux-extras enable livepatch
```
### Visualizar os patches ao vivo do kernel disponíveis
Os alertas de segurança do Amazon Linux são publicados no Centro de segurança do Amazon Linux. Para obter mais informações sobre os alertas de AL2 segurança, que incluem alertas para patches ativos do kernel, consulte o [Amazon Linux Security Center](https://alas.aws.amazon.com/alas2.html). Os patches ao vivo do kernel são prefixados com `ALASLIVEPATCH`. O Centro de segurança do Amazon Linux pode não listar patches ao vivo do kernel que resolvam erros.
Você também pode descobrir os patches ativos do kernel disponíveis para recomendações e CVEs usar a linha de comando.
**Como listar todos os patches ao vivo do kernel disponíveis para recomendações**
Use o seguinte comando.
```
$ yum updateinfo list
```
Veja a seguir um exemplo de saída.
```
Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motd
ALAS2LIVEPATCH-2020-002 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
ALAS2LIVEPATCH-2020-005 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done
```
**Para listar todos os patches ativos do kernel disponíveis para CVEs**
Use o seguinte comando.
```
$ yum updateinfo list cves
```
Veja a seguir um exemplo de saída.
```
Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motdamzn2-core/2/x86_64 | 2.4 kB 00:00:00
CVE-2019-15918 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2019-20096 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2020-8648 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done
```
### Aplicar patches ao vivo do kernel
Aplique patches ao vivo do kernel usando o gerenciador de pacotes **yum** da mesma maneira que você aplicaria atualizações regulares. O plugin **yum** para o Kernel Live Patching gerencia os patches ativos do kernel que estão disponíveis para serem aplicados.
**dica**
Recomendamos que você atualize seu kernel regularmente usando a aplicação de patches do kernel em tempo real para garantir que ele receba correções de segurança específicas importantes e críticas até que o sistema possa ser reinicializado. Verifique também se foram disponibilizadas correções adicionais para o pacote do kernel nativo que não podem ser implementadas como patches em tempo real e, nesses casos, [atualize e reinicie](https://docs.aws.amazon.com/linux/al2/ug/install-updates.html) o kernel.
É possível optar por aplicar um patch ao vivo do kernel específico, ou aplicar qualquer patch ao vivo do kernel disponível com suas atualizações de segurança regulares.
**Como aplicar um patch ao vivo do kernel específico**
1. Obtenha a versão do patch ao vivo do kernel usando um dos comandos descritos em [Visualizar os patches ao vivo do kernel disponíveis](#al2-live-patching-view-available).
1. Aplique o patch ativo do kernel para o seu AL2 kernel.
```
$ sudo yum install kernel-livepatch-kernel_version.x86_64
```
Por exemplo, o comando a seguir aplica um patch ao vivo do kernel para a versão AL2 do kernel `5.10.102-99.473`.
```
$ sudo yum install kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
```
**Como aplicar patches ao vivo do kernel disponíveis com as atualizações de segurança regulares**
Use o seguinte comando.
```
$ sudo yum update --security
```
Omita a opção `--security` para incluir correções de erros.
**Importante**
A versão do kernel não é atualizada após a aplicação de patches ao vivo do kernel. A versão só é atualizada para a nova versão depois da reinicialização da instância.
Um AL2 kernel recebe patches ativos do kernel por um período de três meses. Após o término desse período de três meses, nenhum novo patch ao vivo do kernel será lançado para essa versão do kernel. Para continuar a receber patches ao vivo do kernel após o período de três meses, é necessário reinicializar a instância de modo a migrar para a nova versão do kernel, que continuará recebendo patches ao vivo do kernel pelos próximos três meses. Para verificar a janela de suporte para a versão do kernel, execute `yum kernel-livepatch supported`.
### Visualizar os patches ao vivo do kernel aplicados
**Como visualizar os patches ao vivo do kernel aplicados**
Use o seguinte comando.
```
$ kpatch list
```
O comando retornará uma lista dos patches ao vivo do kernel de atualização de segurança carregados e instalados. A seguir está um exemplo de saída.
```
Loaded patch modules:
livepatch_cifs_lease_buffer_len [enabled]
livepatch_CVE_2019_20096 [enabled]
livepatch_CVE_2020_8648 [enabled]
Installed patch modules:
livepatch_cifs_lease_buffer_len (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2019_20096 (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2020_8648 (5.10.102-99.473.amzn2.x86_64)
```
**nota**
Um único patch ao vivo do kernel pode incluir e instalar vários patches ao vivo.
### Desabilitar o Kernel Live Patching
Se não precisar mais usar o Kernel Live Patching, é possível desabilitá-lo a qualquer momento.
**Como desabilitar o Kernel Live Patching**
1. Remova os pacotes RPM para os patches ao vivo do kernel aplicados.
```
$ sudo yum kernel-livepatch disable
```
1. Desinstale o plug-in **yum** para o Kernel Live Patching.
```
$ sudo yum remove yum-plugin-kernel-livepatch
```
1. Reinicialize a instância.
```
$ sudo reboot
```
## Limitações
O Kernel Live Patching tem as seguintes limitações:
+ Ao aplicar um patch ativo do kernel, você não pode executar a hibernação, usar ferramentas avançadas de depuração (como SystemTap kprobes e ferramentas baseadas em EBPF) ou acessar os arquivos de saída do ftrace usados pela infraestrutura do Kernel Live Patching.
+
**nota**
Devido a limitações técnicas, alguns problemas não podem ser resolvidos com a aplicação de patches em tempo real. Por causa disso, essas correções não serão distribuídas no pacote de patch do kernel em tempo real, mas somente na atualização do pacote nativo do kernel. Você pode instalar a [atualização do pacote nativo do kernel e reinicializar](https://docs.aws.amazon.com/linux/al2/ug/install-updates.html) o sistema para ativar os patches normalmente.
## Perguntas frequentes
Para perguntas frequentes sobre o Kernel Live Patching for AL2, consulte as Perguntas frequentes sobre o [Kernel Live Patching do Amazon Linux 2](https://aws.amazon.com//amazon-linux-2/faqs/).