使用 Kernel Live Patching 在 Amazon Linux 2 受管節點上 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Kernel Live Patching 在 Amazon Linux 2 受管節點上

Kernel Live Patching for Amazon Linux 2 可讓您將安全漏洞和關鍵錯誤修補程式套用至執行中的 Linux 核心,而不會重新啟動或中斷執行中的應用程式。這可讓您從改善的服務和應用程式可用性中受益,同時保持基礎架構的安全和最新狀態。Kernel Live Patching 支援執行 Amazon Linux 2 的 Amazon EC2執行個體、 AWS IoT Greengrass 核心裝置和內部部署虛擬機器

如需 的一般資訊 Kernel Live Patching,請參閱 Kernel Live Patching 在 Amazon EC2使用者指南 中的 Amazon Linux 2 上。

開啟後 Kernel Live Patching 在 Amazon Linux 2 受管節點上,您可以使用 Patch Manager是 的功能 AWS Systems Manager,可將核心即時修補程式套用至受管節點。使用 Patch Manager 是使用節點上現有 yum 工作流程套用更新的替代方案。

開始之前

使用 Patch Manager 若要將核心即時修補程式套用至 Amazon Linux 2 受管節點,請確定您的節點是以正確的架構和核心版本為基礎。如需詳細資訊,請參閱 Amazon EC2使用者指南 中的支援的組態和先決條件

Kernel Live Patching  使用  Patch Manager

更新核心版本

套用核心即時修補程式更新後,您不需要重新啟動受管節點。不過, AWS 在 Amazon Linux 2 核心版本發行後,提供其核心即時修補程式長達三個月。在 3 個月期間過後,您必須更新至較新的核心版本,才能繼續接收核心即時修補程式。我們建議您使用維護時段,排程至少每三個月重新啟動節點一次,以提示核心版本更新。

解除安裝核心即時修補程式

無法使用 解除安裝核心即時修補程式 Patch Manager。 相反地,您可以關閉 Kernel Live Patching,這會移除已套用核心即時修補程式的RPM套件。如需詳細資訊,請參閱使用 Run Command 關閉 Kernel Live Patching

核心合規

在某些情況下,從目前核心版本的即時修補程式安裝所有CVE修正可能會使該核心處於與較新的核心版本相同的合規狀態。發生這種情況時,會將較新的版本報告為 Installed,並將受管節點報告為 Compliant。但是,對於較新的核心版本,不會報告任何安裝時間。

一個核心即時修補程式,多個 CVEs

如果核心即時修補程式解決多個 CVEs,且這些 CVEs具有各種分類和嚴重性值,則只會CVEs報告該修補程式中來自 的最高分類和嚴重性。

本節的其餘部分說明如何使用 Patch Manager 將核心即時修補程式套用至符合這些需求的受管節點。

方法 Kernel Live Patching 使用 Patch Manager 運作方式

AWS 為 Amazon Linux 2 發行兩種類型的核心即時修補程式:安全更新和錯誤修正。若要套用這些類型的修補程式,您可以使用修補基準文件,僅針對下表所列分類與嚴重性。

分類 嚴重性
Security Critical, Important
Bugfix All

您可以建立自訂修補基準,僅針對這些修補程式,或使用預先定義的 AWS-AmazonLinux2DefaultPatchBaseline 修補基準。換句話說,您可以AWS-AmazonLinux2DefaultPatchBaseline搭配 Amazon Linux 2 受管節點使用,其中 Kernel Live Patching 已開啟,並將套用核心即時更新。

注意

AWS-AmazonLinux2DefaultPatchBaseline 組態會指定在自動安裝修補程式之前、發行或最後更新修補程式之後的 7 天等待期。如果不想等待七天,讓核心即時修補程式自動核准,則您可以建立並使用自訂修補基準。在修補基準中,您可以指定非自動核准等待期間,或指定較短或較長的等待期間。如需詳細資訊,請參閱使用自訂修補基準

我們建議您採用下列策略,以核心即時更新修補您的受管節點:

  1. 開啟 Kernel Live Patching Amazon Linux 2 受管節點上的 。

  2. 使用 Run Command是 的功能 AWS Systems Manager,可使用預先定義的AWS-AmazonLinux2DefaultPatchBaseline或自訂修補程式基準,在您的受管節點上執行Scan操作,該基準也僅針對嚴重性分類為 Critical和 的更新Important,以及Bugfix嚴重性為 的Security更新All

  3. 使用 合規 功能 AWS Systems Manager,來檢閱是否針對掃描的任何受管節點報告修補不合規。若是如此,請檢視節點合規詳細資訊,以判斷受管節點是否遺漏任何核心即時修補程式。

  4. 若要安裝缺少的核心即時修補程式,請使用 Run Command 具有您之前指定的相同修補程式基準,但這次會執行 Install操作,而不是 Scan操作。

    由於安裝核心即時修補程式並不需要重新開機,因此您可以為此操作選擇 NoReboot 重新開機選項。

    注意

    如果安裝在受管節點上的其他類型修補程式有需要重新啟動,或者您想要更新至較新的核心,仍然可以重新啟動受管節點。在這些情況下,請改選 RebootIfNeeded 重新開機選項。

  5. 返回 合規以確認已安裝核心即時修補程式。