Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Atualização do Kernel Live em 023 AL2

PDF
RSS
Modo de foco
Atualização do Kernel Live em 023 AL2 - Amazon Linux 2023
LimitaçõesConfigurações e pré-requisitos compatíveisTrabalhar com o Kernel Live Patching

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Você pode usar o Kernel Live Patching for AL2 0.23 para aplicar vulnerabilidades de segurança específicas e patches de bugs críticos a um kernel Linux em execução sem reinicializar ou interromper os aplicativos em execução. Além disso, o Kernel Live Patching pode ajudar a melhorar a disponibilidade do seu aplicativo enquanto aplica essas correções até que o sistema possa ser reinicializado.

AWS lança dois tipos de patches ativos do kernel para AL2 023:

  • Security updates (Atualizações de segurança): contêm atualizações para vulnerabilidades e exposições comuns (CVEs) do Linux. Normalmente, essas atualizações são classificadas como importantes ou críticas de acordo com as classificações do Boletim de segurança do Amazon Linux. Geralmente, elas são mapeadas com uma pontuação 7 ou maior do Common Vulnerability Scoring System (CVSS – Sistema de pontuação de vulnerabilidades comuns). Em alguns casos, AWS pode fornecer atualizações antes que um CVE seja atribuído. Nesses casos, os patches podem aparecer como correções de erros.

  • Correções de bugs — Inclua correções para bugs críticos e problemas de estabilidade que não estão associados CVEs a.

AWS fornece patches ativos do kernel para uma versão do kernel AL2 023 por até 3 meses após seu lançamento. Após esse período, é necessário fazer a atualização para uma versão posterior do kernel para continuar a receber patches ao vivo do kernel.

AL2Os patches ativos do kernel 023 são disponibilizados como pacotes RPM assinados nos repositórios AL2 023 existentes. Os patches podem ser instalados em instâncias individuais usando fluxos de trabalho de gerenciamento de pacotes DNF existentes. Ou eles podem ser instalados em um grupo de instâncias gerenciadas usando o AWS Systems Manager.

O Kernel Live Patching em AL2 023 é fornecido sem custo adicional.

Limitações

Ao aplicar um patch ao vivo no kernel, você não pode executar a hibernação, usar ferramentas avançadas de depuração (como SystemTap, kprobes e ferramentas baseadas em eBPF) ou acessar arquivos de saída ftrace usados pela infraestrutura do Kernel Live Patching.

nota

Devido a limitações técnicas, alguns problemas não podem ser resolvidos com patches ativos. Por causa disso, essas correções não serão enviadas no pacote de patch ativo do kernel, mas somente na atualização do pacote nativo do kernel. Você pode instalar o pacote nativo do kernel, atualizar e reinicializar o sistema para ativar os patches normalmente.

Configurações e pré-requisitos compatíveis

O Kernel Live Patching é compatível com EC2 instâncias da Amazon e máquinas virtuais locais que executam 023. AL2

Para usar o Kernel Live Patching em AL2 023, você deve usar o seguinte:

  • Um x86_64 de 64 bits ou arquitetura ARM64

  • Versão 6.1 do Kernel

Requisitos de política

Para baixar pacotes de AL2 023 repositórios, a Amazon EC2 precisa acessar os buckets Amazon S3 de propriedade do serviço. Se você estiver usando um endpoint Amazon Virtual Private Cloud (VPC) para o Amazon S3 em seu ambiente, certifique-se de que sua política de endpoint de VPC permita acesso a esses buckets públicos. A tabela a seguir descreve o bucket do Amazon S3 que a Amazon EC2 pode precisar acessar para o Kernel Live Patching.

ARN do bucket do S3 Descrição

arn:aws:s3: ::al2023-repos- -de612dc2/* region

Bucket Amazon S3 contendo 023 repositórios AL2

Trabalhar com o Kernel Live Patching

Você pode habilitar e usar o Kernel Live Patching em instâncias individuais usando a linha de comando na própria instância. Como alternativa, você pode habilitar e usar o Kernel Live Patching em um grupo de instâncias gerenciadas usando o AWS Systems Manager.

As seções a seguir explicam como habilitar e usar o Kernel Live Patching em instâncias individuais usando a linha de comando.

Para obter mais informações sobre como ativar e usar o Kernel Live Patching em um grupo de instâncias gerenciadas, consulte Usar o Kernel Live Patching em AL2 023 instâncias no Guia do usuário.AWS Systems Manager

Habilitar o Kernel Live Patching

O Kernel Live Patching está desabilitado por padrão em 023. AL2 Para usar patches ao vivo, você deve instalar o plug-in DNF para patches ao vivo do kernel e ativar a funcionalidade de patching ao vivo.

Como habilitar o Kernel Live Patching

  1. Os patches ativos do kernel estão disponíveis para AL2 0.23 com a versão do kernel. 6.1 Para verificar a versão do kernel, execute o comando a seguir.

    $ sudo dnf list kernel

  2. Instale o plug-in DNF para o Kernel Live Patching.

    $ sudo dnf install -y kpatch-dnf

  3. Habilite o plug-in DNF para o Kernel Live Patching.

    $ sudo dnf kernel-livepatch -y auto

    Este comando também instala a versão mais recente de RPM do patch ao vivo do kernel a partir dos repositórios configurados.

  4. Para confirmar se o plug-in DNF para a aplicação de patches ao vivo no kernel foi instalado com êxito, execute o comando a seguir.

    Quando você habilita o Kernel Live Patching, um RPM de patch ao vivo do kernel vazio é aplicado automaticamente. Se o Kernel Live Patching tiver sido habilitado com êxito, este comando retornará uma lista que inclui o RPM do patch ao vivo do kernel vazio inicial.

    $ sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch
kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64

  5. Instale o pacote kpatch.

    $ sudo dnf install -y kpatch-runtime

  6. Atualize o serviço kpatch, caso tenha sido instalado anteriormente. 

    $ sudo dnf upgrade kpatch-runtime

  7. Inicie o serviço kpatch. Este serviço carrega todos os patches ao vivo do kernel durante ou após a inicialização. 

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

Visualizar os patches ao vivo do kernel disponíveis

Os alertas de segurança do Amazon Linux são publicados no Centro de segurança do Amazon Linux. Para obter mais informações sobre os alertas de segurança AL2 023, incluindo alertas para patches ativos do kernel, consulte o Amazon Linux Security Center. Os patches ao vivo do kernel são prefixados com ALASLIVEPATCH. O Centro de segurança do Amazon Linux pode não listar patches ao vivo do kernel que resolvam erros.

Você também pode descobrir os patches ativos do kernel disponíveis para recomendações e CVEs usar a linha de comando.

Como listar todos os patches ao vivo do kernel disponíveis para recomendações

Use o seguinte comando.

$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
Para listar todos os patches ativos do kernel disponíveis para CVEs

Use o seguinte comando.

$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

Aplicar patches ao vivo do kernel

Aplique patches ao vivo do kernel usando o gerenciador de pacotes DNF da mesma maneira que você aplicaria atualizações regulares. O plug-in DNF para Kernel Live Patching gerencia os patches ativos do kernel que estão disponíveis para serem aplicados.

dica

Recomendamos que você atualize seu kernel regularmente usando o Kernel Live Patching para garantir que ele receba correções de segurança específicas importantes e críticas até que o sistema possa ser reinicializado. Verifique também se correções adicionais foram disponibilizadas para o pacote nativo do kernel que não podem ser implantadas como patches ativos e atualize e reinicie na atualização do kernel nesses casos.

É possível optar por aplicar um patch ao vivo do kernel específico, ou aplicar qualquer patch ao vivo do kernel disponível com suas atualizações de segurança regulares.

Como aplicar um patch ao vivo do kernel específico

  1. Obtenha a versão do patch ao vivo do kernel usando um dos comandos descritos em Visualizar os patches ao vivo do kernel disponíveis.

  2. Aplique o patch ativo do kernel para seu kernel AL2 023.

    $ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64

    Por exemplo, o comando a seguir aplica um patch ativo do kernel para a versão AL2 0.23 do kernel. 6.1.12-17.42

    $ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
Como aplicar patches ao vivo do kernel disponíveis com as atualizações de segurança regulares

Use o seguinte comando.

$ sudo dnf upgrade --security

Omita a opção --security para incluir correções de erros.

Importante

  • A versão do kernel não é atualizada após a aplicação de patches ao vivo do kernel. A versão só é atualizada para a nova versão depois da reinicialização da instância.

  • Um kernel AL2 023 recebe patches ativos do kernel por 3 meses. Após esse período, nenhum novo patch ativo do kernel será lançado para essa versão do kernel.

  • Para continuar a receber patches ao vivo do kernel após 3 meses, você deve reinicializar a instância para migrar para a nova versão do kernel. A instância continua recebendo patches ativos do kernel pelos próximos 3 meses após a atualização.

  • Para verificar a janela de suporte para a versão do kernel, execute o seguinte comando.

    $ sudo dnf kernel-livepatch support

Visualizar os patches ao vivo do kernel aplicados

Como visualizar os patches ao vivo do kernel aplicados

Use o seguinte comando.

$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

O comando retornará uma lista dos patches ao vivo do kernel de atualização de segurança carregados e instalados. A seguir está um exemplo de saída.

nota

Um único patch ao vivo do kernel pode incluir e instalar vários patches ao vivo.

Desabilitar o Kernel Live Patching

Se não precisar mais usar o Kernel Live Patching, é possível desabilitá-lo a qualquer momento.

  • Desative o uso de livepatches:

    1. Desabilite o plug-in: 

      $ sudo dnf kernel-livepatch manual

    2. Desative o kpatch serviço: 

      $ sudo systemctl disable --now kpatch.service

  • Remova totalmente o livepatch ferramentas:

    1. Remover o plug-in de:

      $ sudo dnf remove kpatch-dnf

    2. Remover kpatch-runtime:

      $ sudo dnf remove kpatch-runtime

    3. Remova qualquer um instalado livepatches:

      $ sudo dnf remove kernel-livepatch\*

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.