AL2023 上的核心即時修補 - Amazon Linux 2023
限制支援的組態和先決條件使用 Kernel Live Patching

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AL2023 上的核心即時修補

您可以使用適用於 AL2023 的 Kernel Live Patching,將特定的安全性漏洞和關鍵錯誤修補程式套用至執行中的 Linux 核心,而不會重新啟動或中斷執行中的應用程式。此外,核心即時修補有助於改善應用程式的可用性,同時套用這些修正,直到系統可以重新啟動為止。

AWS 為 AL2023 發行兩種類型的核心即時修補程式:

  • 安全性更新 – 包含 Linux 常見漏洞和入侵程式 (CVE) 的更新。這些更新通常會使用 Amazon Linux 安全建議分級評定為 important (重要)critical (嚴重)。它們通常對應到通用漏洞評分系統 (CVSS) 分數的 7 及以上。在某些情況下, AWS 可能會在指派 CVE 之前提供更新。在這些情況下,修補程式可能會顯示為錯誤修正。

  • 錯誤修正 – 包含與 CVE 無關的重大錯誤和穩定性問題修正。

AWS 提供 AL2023 核心版本的核心即時修補程式,最長可達發行後 3 個月。經過此期間後,您必須更新至更新的核心版本,才能繼續接收核心即時修補程式。

AL2023 核心即時修補程式會在現有 AL2023 軟體庫中以已簽署的 RPM 套件形式提供。這些修補程式可以透過現有 DNF 套件管理員工作流程安裝至個別執行個體。或者,您可以使用 AWS Systems Manager 將其安裝在一組受管執行個體上。

AL2023 的 Kernel Live Patching 以無需額外費用的方式提供。

限制

套用核心即時修補程式時,您無法執行休眠、使用進階偵錯工具 (例如 SystemTapkprobeseBPF 為基礎的工具),或存取 Kernel Live Patching 基礎架構所使用的 ftrace 輸出檔案。

注意

由於技術限制,某些問題無法使用即時修補解決。因此,這些修正不會在核心即時修補程式套件中運送,只會在原生核心套件更新中運送。您可以安裝原生核心套件,並更新和重新啟動系統,以照常啟用修補程式。

支援的組態和先決條件

Amazon EC2 執行個體和執行 AL2023 的內部部署虛擬機器支援 Kernel Live Patching。

若要在 AL2023 上使用 Kernel Live Patching,您必須使用下列:

  • 64 位元 x86_64ARM64 架構

  • 核心版本 6.1

政策要求

若要從 AL2023 儲存庫下載套件,Amazon EC2 需要存取服務擁有的 Amazon S3 儲存貯體。如果您在環境中使用 Amazon S3 的 Amazon Virtual Private Cloud (VPC) 端點,請確定您的 VPC 端點政策允許存取這些公有儲存貯體。 Amazon S3 下表說明 Amazon EC2 存取核心即時修補時可能需要的 Amazon S3 儲存貯體。 Amazon EC2

S3 儲存貯體 ARN 描述

arn:aws:s3::al2023-repos-region-de612dc2/*

包含 AL2023 儲存庫的 Amazon S3 儲存貯體 AL2023

使用 Kernel Live Patching

您可以透過執行個體本身的命令列,在個別執行個體啟用和使用 Kernel Live Patching。或者,您也可以使用 AWS 系統管理員,在受管執行個體群組啟用和使用 Kernel Live Patching。

下列各節說明如何透過命令列在個別執行個體上啟用並使用 Kernel Live Patching。

如需有關在受管執行個體群組上啟用並使用 Kernel Live Patching 的詳細資訊,請參閱 AWS Systems Manager 使用者指南中的在 AL2023 執行個體上使用 Kernel Live Patching

啟用 Kernel Live Patching

Kernel Live Patching 在 AL2023 上預設為停用狀態。若要使用即時修補,您必須安裝 Kernel Live Patching 的 DNF 外掛程式,並啟用即時修補功能。

啟用 Kernel Live Patching

  1. 核心即時修補程式適用於搭載核心版本 6.1 的 AL2023。若要檢查您的核心版本,請執行下列命令。

    $ sudo dnf list kernel

  2. 安裝 Kernel Live Patching 的 DNF 外掛程式。

    $ sudo dnf install -y kpatch-dnf

  3. 啟用 Kernel Live Patching 的 DNF 外掛程式。

    $ sudo dnf kernel-livepatch -y auto

    此命令也會從設定的軟體庫安裝最新版本的核心即時修補程式 RPM。

  4. 若要確認核心即時修補的 DNF 外掛程式是否成功安裝,請執行下列命令。

    當您啟用 Kernel Live Patching 時,系統會自動套用空白的核心即時修補程式 RPM。如果 Kernel Live Patching 已順利啟用,此命令會傳回包含初始空白核心即時修補程式 RPM 的清單。

    $ sudo rpm -qa | grep kernel-livepatch
dnf-plugin-kernel-livepatch-1.0-0.11.amzn2023.noarch
kernel-livepatch-6.1.12-17.42-1.0-0.amzn2023.x86_64

  5. 安裝 kpatch 套件。

    $ sudo dnf install -y kpatch-runtime

  6. 如果之前已安裝 kpatch 服務,請更新此服務。

    $ sudo dnf upgrade kpatch-runtime

  7. 啟動 kpatch 服務。此服務會在初始化或開機時載入所有核心即時修補程式。

    $ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service

檢視可用的核心即時修補程式

Amazon Linux 安全性警示會發佈至資訊 Amazon Linux 安全中心。如需有關 AL2023 安全性警示 (包括核心即時修補程式警示) 的詳細資訊,請參閱 Amazon Linux 安全中心。核心即時修補程式的字首為 ALASLIVEPATCH。Amazon Linux 安全中心可能不會列出解決錯誤的核心即時修補程式。

您也可以使用命令列來探索建議和 CVE 的可用核心即時修補程式。

列出所有可用的核心即時修補程式以供建議使用

使用下列 命令。

$ sudo dnf updateinfo list
Last metadata expiration check: 1:06:23 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
ALAS2LIVEPATCH-2021-123   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
ALAS2LIVEPATCH-2022-124   important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64
列出 CVE 的所有可用核心即時修補程式

使用下列 命令。

$ sudo dnf updateinfo list cves
Last metadata expiration check: 1:07:26 ago on Mon 13 Feb 2023 09:28:19 PM UTC.
CVE-2022-0123    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
CVE-2022-3210    important/Sec. kernel-livepatch-6.1.12-17.42-1.0-3.amzn2023.x86_64

套用核心即時修補程式

您可以使用 DNF 套件管理員來套用核心即時修補程式,方法與套用定期更新相同。適用於 Kernel Live Patching 的 DNF 外掛程式會管理可供套用的核心即時修補程式。

提示

我們建議您定期使用 Kernel Live Patching 更新核心,以確保其收到特定的重要和關鍵安全修正,直到系統可以重新啟動為止。也請檢查是否已為原生核心套件提供其他修正,這些套件無法部署為即時修補程式,並針對這些情況更新和重新啟動核心更新。

您可以選擇套用特定的核心即時修補程式,或套用任何可用的核心即時修補程式,以及定期的安全性更新。

套用特定核心即時修補程式

  1. 使用 檢視可用的核心即時修補程式 中描述的其中一個命令取得核心即時修補程式版本。

  2. 為您的 AL2023 核心套用核心即時修補程式。

    $ sudo dnf install kernel-livepatch-kernel_version-package_version.amzn2023.x86_64

    例如,下列命令會針對 AL2023 核心版本 6.1.12-17.42 套用核心即時修補程式。

    $ sudo dnf install kernel-livepatch-6.1.12-17.42-1.0-4.amzn2023.x86_64
套用任何可用的核心即時修補程式,以及您的定期安全性更新

使用下列命令。

$ sudo dnf upgrade --security

省略包含錯誤修正的 --security 選項。

重要

  • 套用核心即時修補程式後,核心版本不會更新。只有在執行個體重新啟動後,版本才會更新為新版本。

  • AL2023 核心會接收核心即時修補程式,為期三個月。經過此期間後,該核心版本不會發行任何新的核心即時修補程式。

  • 若要在 3 個月後繼續接收核心即時修補程式,您必須重新啟動執行個體,才能轉換到新的核心版本。執行個體會在您更新核心後的 3 個月內繼續收到核心即時修補程式。

  • 若要檢查核心版本的支援視窗,請執行下列命令:

    $ sudo dnf kernel-livepatch support

檢視套用的核心即時修補程式

檢視套用的核心即時修補程式

使用下列命令。

$ sudo kpatch list
Loaded patch modules:
livepatch_CVE_2022_36946 [enabled]

Installed patch modules:
livepatch_CVE_2022_36946 (6.1.57-29.131.amzn2023.x86_64)
livepatch_CVE_2022_36946 (6.1.57-30.131.amzn2023.x86_64)

此命令會傳回已載入及已安裝的安全性更新核心即時修補程式清單。下列為範例輸出。

注意

單一核心即時修補程式可包含並安裝多個即時修補程式。

停用核心即時修補

如果您不再需要使用 Kernel Live Patching,您可以隨時停用它。

  • 停用使用 livepatches:

    1. 停用外掛程式:

      $ sudo dnf kernel-livepatch manual

    2. 停用 kpatch 服務:

      $ sudo systemctl disable --now kpatch.service

  • 完全移除 livepatch 工具:

    1. 移除外掛程式:

      $ sudo dnf remove kpatch-dnf

    2. 移除 kpatch-runtime:

      $ sudo dnf remove kpatch-runtime

    3. 移除任何已安裝的 livepatches:

      $ sudo dnf remove kernel-livepatch\*