选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

023 上的 Kernel Live AL2 补丁

PDF
RSS
聚焦模式
023 上的 Kernel Live AL2 补丁 - Amazon Linux 2023
限制支持的配置和先决条件使用内核实时修补

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

您可以使用适用于 AL2 023 的 Kernel Live Patching 将特定的安全漏洞和严重错误补丁应用于正在运行的 Linux 内核,而无需重新启动或中断正在运行的应用程序。此外,Kernel Live Patching 可以帮助提高应用程序的可用性,同时应用这些修复程序,直到系统可以重启为止。

AWS 为 AL2 023 发布了两种类型的内核实时补丁:

  • 安全更新 - 包括 Linux 常见漏洞和风险(CVE)的更新。通常使用 Amazon Linux 安全公告评级将这些更新评为重要关键。它们通常对应于通用漏洞评分系统 (CVSS) 的 7 分或更高。在某些情况下, AWS 可能会在分配 CVE 之前提供更新。在这些情况下,补丁可能会显示为错误修复。

  • 错误修复-包括针对与之无关的关键错误和稳定性问题的修复 CVEs。

AWS 在 AL2 023 内核版本发布后,为其提供最长 3 个月的内核实时补丁。三个月之后,您必须更新为更高的内核版本才能继续收到内核实时补丁。

AL2023 内核实时补丁以已签名的 RPM 包的形式在现有 AL2 023 存储库中提供。可以使用现有 DNF 软件包管理器工作流在单个实例上安装补丁。或者,也可以使用 S AWS ystems Manager 将它们安装在一组托管实例上。

AL2023 上提供的内核实时补丁无需支付额外费用。

限制

在应用内核实时补丁时,无法执行休眠以及使用高级调试工具(例如 SystemTapkprobes 和基于 eBPF 的工具),或者访问内核实时修补基础设施使用的 ftrace 输出文件。

注意

由于技术限制,某些问题无法通过实时修补来解决。因此,这些修复程序不会在内核实时补丁包中提供,而只能在原生内核包更新中提供。您可以像往常一样安装本机内核软件包并更新和重启系统以激活补丁。

支持的配置和先决条件

运行 AL2 023 的 Amazon EC2 实例和本地虚拟机支持内核实时补丁。

要在 AL2 023 上使用 Kernel Live Patching,必须使用以下内容:

  • 64 位 x86_64ARM64 架构

  • 内核版本 6.1

策略要求

要从 AL2 023 存储库下载软件包,亚马逊 EC2 需要访问服务拥有的 Amazon S3 存储桶。如果您在环境中使用适用于 Amazon S3 的亚马逊虚拟私有云 (VPC) 终端节点,请确保您的 VPC 终端节点策略允许访问这些公有存储桶。下表描述了亚马逊 EC2 可能需要访问的 Amazon S3 存储桶,才能进行内核实时补丁。

S3 存储桶 ARN 描述

arn: aws: s3::: al2023-repos--de612dc2/* region

包含 AL2 023 个存储库的亚马逊 S3 存储桶

使用内核实时修补

要在单独的实例上启用和使用内核实时修补,可在该实例本身上使用命令行。要在一组托管实例上启用和使用内核实时修补,可以使用 AWS Systems Manager。

以下部分介绍如何在单独的实例上使用命令行来启用和使用内核实时修补。

有关在一组托管实例上启用和使用内核实时补丁的更多信息,请参阅《用户指南》中的 “在 AL2 023 实例上使用内核实时补丁”AWS Systems Manager 。

启用内核实时修补

默认情况下,内核实时补丁在 AL2 023 处于禁用状态。要使用内核实时修补,必须为其安装 DNF 插件,并启用实时修补功能。

启用内核实时修补

  1. 内核实时补丁适用于内核版本6.1的 AL2 023。要检查内核版本,请运行以下命令。

    $ sudo dnf list kernel

  2. 为内核实时修补安装 DNF 插件。

    $ sudo dnf install -y kpatch-dnf

  3. 为内核实时修补启用 DNF 插件。

    $ sudo dnf kernel-livepatch -y auto

    此命令还会安装来自配置的存储库的最新版本的内核实时补丁 RPM。

  4. 要确认内核实时修补的 DNF 插件是否安装成功,请运行以下命令。

    当您启用内核实时修补时,会自动应用空的内核实时补丁 RPM。如果成功启用了内核实时修补,则此命令将返回一个列表,其中包括初始的空内核实时补丁 RPM。

    $ sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch
kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64

  5. 安装 kpatch 软件包。

    $ sudo dnf install -y kpatch-runtime

  6. 如果之前安装过 kpatch 服务,请更新它。

    $ sudo dnf upgrade kpatch-runtime

  7. 启动 kpatch 服务。此服务在初始化或启动时会加载所有内核实时补丁。

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

查看可用的内核实时补丁

Amazon Linux 安全警报会发布到 Amazon Linux 安全中心。有关 AL2 023 安全警报的更多信息,包括内核实时补丁警报,请参阅 Amazon Linux 安全中心。内核实时补丁的前缀为 ALASLIVEPATCH。Amazon Linux 安全中心可能不会列出解决错误的内核实时补丁。

您还可以 CVEs 使用命令行查找可用的内核实时补丁以获取公告。

列出所有可用的内核实时补丁以获取公告

使用以下命令。

$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
列出所有可用的内核实时补丁 CVEs

使用以下命令。

$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

应用内核实时补丁

您可以使用 DNF 软件包管理器,就像应用常规更新那样来应用内核实时补丁。内核实时补丁的 DNF 插件管理可供应用的内核实时补丁。

提示

我们建议您使用 Kernel Live Patching 定期更新内核,以确保在系统重新启动之前,内核收到特定的重要和关键安全补丁。另请检查是否为无法作为实时补丁部署的本机内核软件包提供了其他修复程序,并在这些情况下更新并重启内核更新。

您可以选择应用特定的内核实时补丁,或者应用任何可用的内核实时补丁以及定期安全更新。

应用特定内核实时补丁

  1. 使用 查看可用的内核实时补丁 中描述的命令之一获取内核实时补丁版本。

  2. 为您的 AL2 023 内核应用内核实时补丁。

    $ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64

    例如,以下命令应用了 AL2 0.23 内核版本的内核实时补丁 6.1.12-17.42

    $ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
应用任何可用的内核实时补丁以及定期安全更新

使用以下命令。

$ sudo dnf upgrade --security

省略 --security 选项将包含错误修复。

重要

  • 应用内核实时补丁后,内核版本不会更新。仅当重启实例后,版本才会更新为新版本。

  • AL2023 内核会接收 3 个月的内核实时补丁。之后,不会为该内核版本发布新的内核实时补丁。

  • 要想在三个月后继续收到内核实时补丁,您必须重启实例以移至新的内核版本。更新后,实例将在接下来的三个月内继续收到内核实时补丁。

  • 要查看内核版本的支持窗口,请运行以下命令。

    $ sudo dnf kernel-livepatch support

查看应用的内核实时补丁

查看应用的内核实时补丁

使用以下命令。

$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

该命令返回已加载和安装的安全更新内核实时补丁的列表。下面是示例输出。

注意

单个内核实时补丁可以包含和安装多个实时补丁。

禁用内核实时修补

如果您不再需要使用内核实时修补,可以随时禁用它。

  • 禁用使用 livepatches:

    1. 禁用插件:

      $ sudo dnf kernel-livepatch manual

    2. 禁用 kpatch 服务: 

      $ sudo systemctl disable --now kpatch.service

  • 完全移除 livepatch 工具:

    1. 移除插件:

      $ sudo dnf remove kpatch-dnf

    2. 删除 kpatch-runtime:

      $ sudo dnf remove kpatch-runtime

    3. 移除所有已安装的内容 livepatches:

      $ sudo dnf remove kernel-livepatch\*

下一主题:

内核更新

上一主题:

管理更新

需要帮助吗?

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。