Limitações Configurações e pré-requisitos compatíveis Trabalhar com o Kernel Live Patching

O Kernel Live Patching está ativado AL2023

Você pode usar o Kernel Live Patching AL2023 para aplicar vulnerabilidades de segurança específicas e patches de bugs críticos a um kernel Linux em execução sem reinicializar ou interromper os aplicativos em execução. Além disso, a aplicação de patches do kernel em tempo real pode ajudar a melhorar a disponibilidade da aplicação, ao mesmo tempo em que aplica essas correções até que o sistema possa ser reinicializado.

AWS lança dois tipos de patches ativos do kernel para AL2023:

Security updates (Atualizações de segurança): contêm atualizações para vulnerabilidades e exposições comuns (CVEs) do Linux. Normalmente, essas atualizações são classificadas como importantes ou críticas de acordo com as classificações do Boletim de segurança do Amazon Linux. Em alguns casos, AWS pode fornecer atualizações antes que um CVE seja atribuído. Nesses casos, os patches podem aparecer como correções de erros. Os patches ativos do kernel para atualizações de segurança são fornecidos com base no melhor esforço possível -- nem todos os importantes ou críticos CVEs podem estar disponíveis como patches ativos para uma determinada versão do kernel. Para determinar se um CVE específico foi resolvido por um patch ativo, consulte Amazon Linux Security Advisories.
Correções de bugs — Inclua correções para bugs críticos e problemas de estabilidade que não estão associados CVEs a.

AWS fornece patches ativos do kernel para uma versão do AL2023 kernel por até 3 meses após seu lançamento. Após esse período, é necessário fazer a atualização para uma versão posterior do kernel para continuar a receber patches ao vivo do kernel.

AL2023 os patches ativos do kernel são disponibilizados como pacotes RPM assinados nos AL2023 repositórios existentes. Os patches podem ser instalados em instâncias individuais usando fluxos de trabalho de gerenciamento de pacotes DNF existentes. Ou eles podem ser instalados em um grupo de instâncias gerenciadas usando o AWS Systems Manager.

O Kernel Live Patching on AL2023 é fornecido sem custo adicional.

Tópicos

Limitações
Configurações e pré-requisitos compatíveis
Trabalhar com o Kernel Live Patching

Limitações

Ao aplicar um patch ao vivo no kernel, você não pode executar a hibernação, usar ferramentas avançadas de depuração (como SystemTap, kprobes e ferramentas baseadas em eBPF) ou acessar arquivos de saída ftrace usados pela infraestrutura do Kernel Live Patching.

nota

Devido a limitações técnicas, alguns problemas não podem ser resolvidos com a aplicação de patches em tempo real. Por causa disso, essas correções não serão distribuídas no pacote de patch do kernel em tempo real, mas somente na atualização do pacote nativo do kernel. Você pode instalar o pacote nativo do kernel e atualizar e reinicializar o sistema para ativar os patches normalmente.

Configurações e pré-requisitos compatíveis

O Kernel Live Patching é compatível com instâncias do Amazon EC2 e máquinas virtuais locais que são executadas. AL2023

Para usar o Kernel Live Patching ativado AL2023, você deve usar o seguinte:

Um x86_64 de 64 bits ou arquitetura ARM64
Versão 6.1 ou 6.12 do kernel

Requisitos de política

Para baixar pacotes dos repositórios do AL2023, o Amazon EC2 precisa acessar os buckets do Amazon S3 pertencentes ao serviço. Se estiver usando um endpoint do Amazon Virtual Private Cloud (VPC) para o Amazon S3 em seu ambiente, garanta que sua política de endpoint da VPC permita acesso a esses buckets públicos. A tabela a seguir descreve o bucket do Amazon S3 que o Amazon EC2 pode precisar acessar para a aplicação de patches do kernel em tempo real.

ARN do bucket do S3	Description
arn:aws:s3: ::al2023-repos- -de612dc2/* `region`	Bucket Amazon S3 contendo repositórios AL2023

Trabalhar com o Kernel Live Patching

Você pode habilitar e usar o Kernel Live Patching em instâncias individuais usando a linha de comando na própria instância. Como alternativa, você pode habilitar e usar o Kernel Live Patching em um grupo de instâncias gerenciadas usando o AWS Systems Manager.

As seções a seguir explicam como habilitar e usar o Kernel Live Patching em instâncias individuais usando a linha de comando.

Para obter mais informações sobre como ativar e usar o Kernel Live Patching em um grupo de instâncias gerenciadas, consulte Usar o Kernel Live Patching em AL2023 instâncias no Guia do usuário.AWS Systems Manager

Tópicos

Habilitar o Kernel Live Patching
Visualizar os patches ao vivo do kernel disponíveis
Aplicar patches ao vivo do kernel
Visualizar os patches ao vivo do kernel aplicados
Desabilitar o Kernel Live Patching

Habilitar o Kernel Live Patching

O Kernel Live Patching está desativado por padrão em. AL2023 Para usar patches ao vivo, você deve instalar o plug-in DNF para patches ao vivo do kernel e ativar a funcionalidade de patching ao vivo.

Como habilitar o Kernel Live Patching

Os patches ativos do kernel estão disponíveis AL2023 com a versão do kernel. 6.1 Para verificar a versão do kernel, execute o comando a seguir.
```
$ sudo dnf list kernel
```
Instale o plug-in DNF para o Kernel Live Patching.
```
$ sudo dnf install -y kpatch-dnf
```
Habilite o plug-in DNF para o Kernel Live Patching.
```
$ sudo dnf kernel-livepatch -y auto
```
Este comando também instala a versão mais recente de RPM do patch ao vivo do kernel a partir dos repositórios configurados.
Para confirmar se o plug-in DNF para a aplicação de patches ao vivo no kernel foi instalado com êxito, execute o comando a seguir.

Quando você habilita o Kernel Live Patching, um RPM de patch ao vivo do kernel vazio é aplicado automaticamente. Se a aplicação de patches do kernel em tempo real tiver sido habilitada com êxito, este comando retornará uma lista que inclui o RPM de patch do kernel em tempo real vazio inicial (e outro RPM que configura o repositório DNF contendo os patches em tempo real).
```
$ sudo rpm -qa | grep kernel-livepatch
kernel-livepatch-repo-s3-2023.7.20250428-0.amzn2023.noarch
kernel-livepatch-6.1.134-150.224-1.0-0.amzn2023.x86_64
```
Instale o pacote kpatch.
```
$ sudo dnf install -y kpatch-runtime
```
Atualize o serviço kpatch, caso tenha sido instalado anteriormente.
```
$ sudo dnf upgrade kpatch-runtime
```
Inicie o serviço kpatch. Este serviço carrega todos os patches ao vivo do kernel durante ou após a inicialização.
```
$ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service
```

Visualizar os patches ao vivo do kernel disponíveis

Os alertas de segurança do Amazon Linux são publicados no Centro de segurança do Amazon Linux. Para obter mais informações sobre os alertas AL2023 de segurança, incluindo alertas para patches ativos do kernel, consulte o Amazon Linux Security Center. Os patches ao vivo do kernel são prefixados com ALASLIVEPATCH. O Centro de segurança do Amazon Linux pode não listar patches ao vivo do kernel que resolvam erros.

Você também pode descobrir os patches ativos do kernel disponíveis para recomendações e CVEs usar a linha de comando.

Como listar todos os patches ao vivo do kernel disponíveis para recomendações

Use o seguinte comando.


$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Para listar todos os patches ativos do kernel disponíveis para CVEs

Use o seguinte comando.


$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Aplicar patches ao vivo do kernel

Aplique patches ao vivo do kernel usando o gerenciador de pacotes DNF da mesma maneira que você aplicaria atualizações regulares. O plug-in DNF para a aplicação de patches do kernel em tempo real gerencia os patches do kernel em tempo real que estão disponíveis para aplicação.

dica

Recomendamos que você atualize seu kernel regularmente usando o Kernel Live Patching para garantir que ele receba correções de segurança específicas até que o sistema possa ser reinicializado. Verifique também se foram disponibilizadas correções adicionais para o pacote do kernel nativo que não podem ser implementadas como patches em tempo real e, nesses casos, atualize e reinicie o kernel.

É possível optar por aplicar um patch ao vivo do kernel específico, ou aplicar qualquer patch ao vivo do kernel disponível com suas atualizações de segurança regulares.

Como aplicar um patch ao vivo do kernel específico

Obtenha a versão do patch ao vivo do kernel usando um dos comandos descritos em Visualizar os patches ao vivo do kernel disponíveis.
Aplique o patch ativo do kernel para o seu AL2023 kernel.
```
$ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64
```
Por exemplo, o comando a seguir aplica um patch ativo do kernel para a versão do AL2023 kernel 6.1.12-17.42
```
$ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
```

Como aplicar patches ao vivo do kernel disponíveis com as atualizações de segurança regulares

Use o seguinte comando.


$ sudo dnf upgrade --security

Omita a opção --security para incluir correções de erros.

Importante

A versão do kernel não é atualizada após a aplicação de patches ao vivo do kernel. A versão só é atualizada para a nova versão depois da reinicialização da instância.
Um AL2023 kernel recebe patches ativos do kernel por 3 meses. Após esse período, nenhum novo patch ativo do kernel será lançado para essa versão do kernel.
Para continuar a receber patches ao vivo do kernel após 3 meses, você deve reinicializar a instância para migrar para a nova versão do kernel. A instância continua recebendo patches ativos do kernel pelos próximos 3 meses após a atualização.

Para verificar a janela de suporte para a versão do kernel, execute o seguinte comando.


$ sudo dnf kernel-livepatch support
The current version of the Linux kernel you are running will no longer receive live patches after 2025-07-22.

Visualizar os patches ao vivo do kernel aplicados

Como visualizar os patches ao vivo do kernel aplicados

Use o seguinte comando.


$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

O comando retornará uma lista dos patches ao vivo do kernel de atualização de segurança carregados e instalados. A seguir está um exemplo de saída.

nota

Um único patch ao vivo do kernel pode incluir e instalar vários patches ao vivo.

Desabilitar o Kernel Live Patching

Se não precisar mais usar o Kernel Live Patching, é possível desabilitá-lo a qualquer momento.

Desabilite o uso de livepatches:
1. Desabilite o plug-in:
```
$ sudo dnf kernel-livepatch manual
```
2. Desabilite o serviço kpatch:
```
$ sudo systemctl disable --now kpatch.service
```
Remova totalmente as ferramentas livepatch:
1. Remover o plug-in de:
```
$ sudo dnf remove kpatch-dnf
```
2. Remover kpatch-runtime:
```
$ sudo dnf remove kpatch-runtime
```
3. Remova qualquer livepatches instalado:
```
$ sudo dnf remove kernel-livepatch\*
```

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciar atualizações

Atualizações do kernel