Preguntas frecuentes sobre Amazon Linux 2

P: ¿Qué es Amazon Linux 2?

Amazon Linux 2 es un sistema operativo Amazon Linux que proporciona un entorno de aplicaciones moderno con las últimas mejoras de la comunidad de Linux y ofrece soporte a largo plazo. Además de las imágenes de máquina de Amazon (AMI) y los formatos de imagen de contenedor, Amazon Linux 2 está disponible como imagen de máquina virtual para las tareas de desarrollo y prueba en las instalaciones, lo que le permite desarrollar, probar y certificar con facilidad sus aplicaciones desde su entorno de desarrollo local directamente.

P: ¿Cuándo se dejará de ofrecer soporte para Amazon Linux 2?

El soporte para Amazon Linux 2 (fin de vida útil) se ha extendido dos años, del 30 de junio de 2023 al 30 de junio de 2025, para ofrecer a los clientes tiempo suficiente para migrar a la siguiente versión.

P: ¿En qué se diferencian Amazon Linux 2 y Amazon Linux 2023?

Consulte la documentación para obtener más información sobre las principales diferencias entre estas distribuciones.

P: ¿Qué beneficios aporta el uso de Amazon Linux 2?

Al igual que la AMI de Amazon Linux, Amazon Linux 2 admite las características más recientes de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) e incluye paquetes que permiten integrar el sistema operativo con facilidad a AWS. Está optimizado para su uso en Amazon EC2 con una versión del kernel de Linux más reciente y optimizada. Gracias a eso, muchas cargas de trabajo de clientes funcionan mejor en Amazon Linux 2. Las ofertas de Amazon Linux 2 contarán con soporte hasta el 30 de junio de 2025 con actualizaciones de seguridad y mantenimiento. Amazon Linux 2 está disponible como imágenes de máquinas virtuales en las instalaciones que permiten el desarrollo y las pruebas locales.

P: ¿Qué cargas de trabajo o casos de uso son compatibles con Amazon Linux 2?

Amazon Linux 2 se puede usar en una amplia variedad de cargas de trabajo virtuales y en contenedores en contextos de producción, como bases de datos, análisis de datos, aplicaciones para la línea de negocio, aplicaciones web y de escritorio, entre otras. También está disponible en instancias EC2 bare metal como sistema operativo básico y host de virtualización.

P: ¿Cuáles son los componentes principales de Amazon Linux 2?

Estos son los componentes principales de Amazon Linux 2:

1. Un kernel de Linux optimizado para ofrecer un rendimiento óptimo en Amazon EC2
2. Un conjunto de paquetes claves que incluyen systemd, GCC 7.3, Glibc 2.26 y Binutils 2.29.1 que reciben Long Term Support (LTS, soporte a largo plazo) de AWS
3. Un canal adicional para tecnologías en rápida evolución que es probable que se actualicen con frecuencia y que no pertenezcan al modelo de LTS

P: ¿En qué se diferencia Amazon Linux 2 de la AMI de Amazon Linux?
Estas son las principales diferencias entre Amazon Linux 2 y la AMI de Amazon Linux:

1. Amazon Linux 2 ofrece soporte a largo plazo hasta el 30 de junio de 2025.
2. Amazon Linux 2 está disponible como imagen de máquina virtual para las tareas de desarrollo y prueba en las instalaciones.
3. Amazon Linux 2 proporciona el servicio systemd y el administrador de sistemas, a diferencia del sistema System V Init de la AMI de Amazon Linux.
4. Amazon Linux 2 incluye un kernel de Linux, una biblioteca C, un compilador y herramientas actualizados.
5. Amazon Linux 2 ofrece la posibilidad de instalar paquetes de software adicionales con un mecanismo de extras.

P: ¿Cómo se puede comenzar a utilizar Amazon Linux 2 en AWS?

AWS proporciona una imagen de máquina de Amazon (AMI) para Amazon Linux 2 que se puede utilizar para lanzar una instancia desde la consola de Amazon EC2, el AWS SDK y la CLI. Consulte la documentación de Amazon Linux para obtener más detalles.

P: ¿Existe algún costo asociado a la ejecución de Amazon Linux 2 en Amazon EC2?

No, no se cobra nada más por ejecutar Amazon Linux 2. Se aplican los cargos estándar de Amazon EC2 y AWS por la ejecución de instancias de Amazon EC2 y otros servicios.

P: ¿Qué tipo de instancia de Amazon EC2 admite Amazon Linux 2?

Amazon Linux 2 admite todos los tipos de instancias de Amazon EC2 compatibles con las AMI de HVM. Amazon Linux 2 no admite instancias más antiguas que requieran la funcionalidad de paravirtualización (PV).

P: ¿Amazon Linux 2 admite aplicaciones y bibliotecas de 32 bits?

Sí, Amazon Linux 2 es compatible con bibliotecas y aplicaciones de 32 bits. Si utiliza una versión de Amazon Linux 2 que se lanzó antes del 4 de octubre de 2018, puede ejecutar “yum upgrade” para obtener la compatibilidad completa de 32 bits.  

P: ¿Amazon Linux 2 incluye una interfaz gráfica de usuario (GUI) de escritorio?
Sí, el entorno de escritorio MATE se proporciona como un extra en Amazon Linux 2. Amazon WorkSpaces proporciona escritorios en la nube basados en Amazon Linux 2 con una GUI. Puede obtener más información aquí.

P: ¿Puedo ver el código fuente de los componentes de Amazon Linux 2?

Sí. La herramienta yumdownloader --source de Amazon Linux 2 brinda acceso al código fuente de muchos componentes.

P: ¿Por qué Python 2.7 sigue siendo parte de Amazon Linux 2?

Continuaremos proporcionando parches de seguridad críticos para Python 2 de acuerdo con nuestro compromiso de LTS para los paquetes claves de Amazon Linux 2 (hasta junio de 2025), aunque la comunidad de exploración y producción de Python declaró el fin del ciclo de vida útil de Python 2.7 en enero de 2020.

P: ¿Debo migrar mi código a Python 3 y dejar de usar Python 2.7?

Recomendamos encarecidamente a nuestros clientes que instalen Python 3 en sus sistemas Amazon Linux 2 y migren el código y las aplicaciones a Python 3.

P: ¿Se está dejando de usar Python 2.7 para Amazon Linux 2?

No hay planes para cambiar el intérprete de Python predeterminado. Nuestra intención es mantener Python 2.7 como la opción predeterminada durante toda la vida útil de Amazon Linux 2. Implementaremos las correcciones de seguridad en nuestros paquetes de Python 2.7 según sea necesario.

P: ¿Por qué Amazon Linux 2 no pasa de Python 2.7 al administrador de paquetes “yum” ni pasa a DNF que está basado en Python 3?

Con un lanzamiento del sistema operativo con LTS, el riesgo de realizar cambios fundamentales, reemplazar elementos o agregar otro administrador de paquetes es extremadamente alto. Por lo tanto, a la hora de planificar nuestra migración a Python 3 para Amazon Linux, tomamos la decisión de hacerlo con un límite de versión principal, en lugar de hacerlo solo en Amazon Linux 2. Otras distribuciones de Linux basadas en RPM también aplican esta estrategia, incluso aquellas sin compromisos de LTS.

P: ¿En qué se diferencia el kernel 5.10 del kernel 4.14?

El kernel 5.10 aporta una serie de características y mejoras en materia de rendimiento, incluidas optimizaciones para los procesadores Intel Ice Lake y Graviton 2 que respaldan las instancias EC2 de última generación. 

Desde el punto de vista de la seguridad, los clientes se benefician de WireGuard VPN, que ayuda a configurar una red privada virtual eficaz con una superficie expuesta a ataques reducida y permite implementar cifrado con menos gastos generales. El kernel 5.10 también aporta una característica de bloqueo para evitar la modificación no autorizada de la imagen del kernel y una serie de mejoras de BPF, incluido CO-RE (Compile Once - Run Everywhere).

Los clientes que realizan muchas operaciones de entrada y salida se beneficiarán de un mejor rendimiento de escritura, un uso compartido más seguro de los anillos io_uring entre los procesos para realizar operaciones de entrada y salida más rápidamente, y la compatibilidad con el nuevo sistema exFAT para una mejor compatibilidad con los dispositivos de almacenamiento. Con la incorporación de MultiPath TCP (MPTCP), los clientes con varias interfaces de red pueden combinar todas las rutas de red disponibles para aumentar el rendimiento y reducir la cantidad de errores en la red.

P: ¿Qué incluye el soporte a largo plazo para Amazon Linux 2?

El soporte a largo plazo para Amazon Linux 2 solo corresponde a los paquetes claves e incluye las siguientes acciones:
1) AWS proporcionará actualizaciones de seguridad y correcciones de errores para todos los paquetes claves hasta el 30 de junio de 2025.
2) AWS mantendrá la compatibilidad con la interfaz binaria de aplicaciones (ABI) en el espacio de usuario para los siguientes paquetes claves:

elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs y zlib

3) AWS proporcionará compatibilidad con la interfaz binaria de aplicaciones (ABI) para todos los demás paquetes claves, a menos que no sea posible proporcionar dicha compatibilidad por motivos ajenos al control de AWS.

P: ¿Amazon Linux 2 mantiene la compatibilidad con la ABI en el espacio del kernel?
No, Amazon Linux 2 no mantiene la compatibilidad con la ABI en el espacio del kernel. Si se produce un cambio en el kernel de Linux en las etapas de exploración y producción que afecte la estabilidad de la ABI, es posible que las aplicaciones que dependan de controladores de kernel de terceros necesiten más modificaciones.

P: ¿AWS implementa las correcciones de seguridad para Amazon Linux 2 en versiones anteriores?
Sí. Amazon toma rutinariamente las correcciones de las versiones más recientes de los paquetes de software de exploración y producción, y las aplica a la versión del paquete de Amazon Linux 2. Durante este proceso, Amazon aísla la corrección de cualquier otro cambio, se asegura de que las correcciones no introduzcan efectos secundarios no deseados y, a continuación, las aplica.

P: ¿Se aplican las políticas de soporte a largo plazo a los temas extras?
El contenido de los temas extras está exento de la política de Amazon Linux en materia de soporte a largo plazo y compatibilidad binaria. Los temas extras brindan acceso a una lista seleccionada de tecnologías en rápida evolución que es probable que se actualicen con frecuencia. Cuando se publiquen nuevas versiones de paquetes de temas extras, solo se proporcionará soporte para los paquetes más actuales. Con el tiempo, estas tecnologías seguirán madurando y estabilizándose, y es posible que eventualmente se agreguen a los repositorios claves de Amazon Linux 2, a los cuales se aplican las políticas de soporte a largo plazo de Amazon Linux 2.

P: ¿Se proporcionarán compilaciones adicionales de Amazon Linux 2 después del lanzamiento de las compilaciones con LTS?
Sí. Las nuevas compilaciones llevarán a los mismos repositorios e incluirán el conjunto total de actualizaciones de seguridad y características para no tener que aplicar las actualizaciones pendientes.

P: ¿Dónde puedo conseguir actualizaciones para Amazon Linux 2?
Las actualizaciones para Amazon Linux 2 se proporcionan con un repositorio preconfigurado y alojado en cada región de AWS. En el lanzamiento inicial de una nueva instancia, Amazon Linux intenta instalar todas las actualizaciones de seguridad del espacio de usuario que se consideren críticas o importantes. También puede activar o desactivar la instalación automática de parches de seguridad críticos e importantes en el momento del lanzamiento de la instancia.

P: ¿Cómo puedo automatizar la implementación de parches de seguridad en Amazon Linux 2 a escala?

AWS Systems Manager Patch Manager trabaja con Amazon Linux 2 para automatizar el proceso de implementación de parches en las instancias de Amazon Linux 2 a escala. Patch Manager puede buscar parches faltantes o escanear e instalar parches faltantes en grandes grupos de instancias. Systems Manager Patch Manager también se puede usar para instalar parches para actualizaciones que no sean de seguridad.

P: ¿Qué opciones de soporte premium están disponibles para Amazon Linux 2?
El soporte para Amazon Linux 2 en Amazon Web Services (AWS) se incluye a través de suscripciones a AWS Support.

En este momento, AWS Support no cubre el uso en las instalaciones de Amazon Linux 2. La documentación y el foro de Amazon Linux 2 son las principales fuentes de soporte para el uso en las instalaciones de Amazon Linux 2. En los foros de Amazon Linux 2, puede publicar preguntas, informar errores y solicitar características.

P: ¿Puedo realizar una actualización continua de Amazon Linux 2 LTS Candidate 2 a la versión LTS de Amazon Linux 2?
Sí, es posible realizar una actualización continua de Amazon Linux 2 LTS Candidate 2 a Amazon Linux 2. Sin embargo, hay cambios en la compilación final de LTS que pueden provocar afectar la aplicación. Le recomendamos que primero pruebe la aplicación en una instalación nueva de Amazon Linux 2 antes de realizar la migración.

P: ¿AWS admitirá la AMI de Amazon Linux en el futuro?

Sí. Para facilitar la migración a Amazon Linux 2, AWS suministrará actualizaciones de seguridad para la última versión de la imagen del contenedor y Amazon Linux hasta el 31 de diciembre de 2020. También puede utilizar todos los canales de soporte existentes, como AWS Premium Support y Foro de debate de Amazon Linux, para seguir enviando solicitudes de soporte.

P: ¿Amazon Linux 2 es compatible con la versión existente de la AMI de Amazon Linux?
Debido a la inclusión de componentes como systemd en Amazon Linux 2, es posible que las aplicaciones que se ejecuten en la versión actual de Amazon Linux requieran cambios adicionales para ejecutarse en Amazon Linux 2.

P: ¿Puedo realizar una actualización local de una versión existente de la AMI de Amazon Linux a Amazon Linux 2?
No, no se admite la actualización local de la imagen de Amazon Linux existente a Amazon Linux 2. Le recomendamos que primero pruebe la aplicación en una instalación nueva de Amazon Linux 2 antes de realizar la migración.

P: ¿Puedo realizar una actualización continua de las instancias que ejecutan la AMI de Amazon Linux a Amazon Linux 2?
No, las instancias que ejecuten Amazon Linux no se actualizarán a Amazon Linux 2 con mecanismos de actualización continua. Por lo tanto, no se produce ninguna interrupción en las aplicaciones existentes. Consulte la documentación de Amazon Linux y las herramientas de migración para obtener más información.

P: ¿En qué plataformas de virtualización en las instalaciones se ejecuta Amazon Linux 2?
Las imágenes de máquinas virtuales Amazon Linux 2 están disponibles actualmente para las plataformas de virtualización KVM, Microsoft Hyper-V, Oracle VM VirtualBox y VMware ESXi para su uso en desarrollo y pruebas. Estamos trabajando para obtener la certificación para estas plataformas de virtualización.

P: ¿Cómo puedo empezar a utilizar la imagen de máquina virtual Amazon Linux 2 en mi entorno de desarrollo local?
Puede descargar una imagen de máquina virtual para cada hipervisor compatible. Después de descargar la imagen, siga la documentación de Amazon Linux para empezar.

P: ¿Existe algún costo asociado a la ejecución en las instalaciones de Amazon Linux 2?
No, no se cobra nada más por ejecutar Amazon Linux 2 en las instalaciones.

P: ¿Se necesita una cuenta de AWS para ejecutar Amazon Linux 2 en las instalaciones?
No, no es necesario contar con una cuenta de AWS para ejecutar Amazon Linux 2 en las instalaciones.

P: ¿Cuáles son los requisitos mínimos del sistema para ejecutar Amazon Linux 2?
Como mínimo, Amazon Linux 2 necesita una máquina virtual de 64 bits con 512 MB de memoria, una CPU virtual y una BIOS emulada.

P: ¿Recibirán actualizaciones de seguridad de AWS las imágenes de máquinas virtuales en las instalaciones Amazon Linux 2?
Sí, AWS proporcionará actualizaciones de seguridad y correcciones de errores para todos los paquetes claves hasta el 30 de junio de 2025. Además, AWS mantendrá la compatibilidad de la interfaz binaria de aplicaciones (ABI) en el espacio de usuario para los siguientes paquetes claves.

P: ¿Puedo obtener soporte pagado de AWS Support para las imágenes de máquinas virtuales en las instalaciones Amazon Linux 2?
No, por el momento, AWS Support no ofrece soporte pagado para las máquinas virtuales Amazon Linux 2 que se ejecutan en las instalaciones. El soporte de la comunidad a través de los foros de Amazon Linux 2 es la fuente principal de asistencia para responder preguntas y resolver problemas derivados del uso en las instalaciones. La documentación de Amazon Linux 2 lo guía a la hora de poner en funcionamiento sus máquinas virtuales y contenedores Amazon Linux 2, configurar el sistema operativo e instalar aplicaciones.

P: ¿Cómo evalúa Amazon Linux las CVE?

Amazon Linux evalúa las vulnerabilidades y las exposiciones comunes (CVE) descubiertas a través de su proceso interno, evalúa el riesgo potencial para sus productos y toma medidas, como publicar una actualización de seguridad o un aviso. Las CVE reciben una puntuación del Common Vulnerability Scoring System (CVSS, sistema de puntuación de las vulnerabilidades comunes), que es un método estándar para puntuar y clasificar la gravedad de las vulnerabilidades. La fuente principal de datos sobre las CVE es la National Vulnerability Database (NVD, base de datos nacional de vulnerabilidades). Amazon Linux también recopila información de seguridad de otras fuentes, como avisos de proveedores e informes de clientes e investigadores.

Más información >>

P: ¿Por qué un escáner de seguridad informa de un CVE no fijo en un paquete de Amazon Linux cuando un aviso de seguridad de Amazon Linux afirma que el CVE está corregido en esa versión?

Amazon Linux, al igual que la mayoría de las distribuciones de Linux, envía de forma rutinaria las correcciones de seguridad a las versiones de paquetes estables que se ofrecen en sus repositorios. Cuando estos paquetes se actualicen con un puerto de respaldo, el boletín de seguridad de Amazon Linux correspondiente al problema concreto mostrará las versiones específicas del paquete en las que se solucionó el problema para Amazon Linux. Los escáneres de seguridad que se basan en el control de versiones de los autores de un proyecto a veces no detectan que una corrección de CVE determinada se ha aplicado a una versión anterior. Los clientes pueden consultar el Centro de seguridad de Amazon Linux (ALAS) para ver las actualizaciones sobre problemas y las correcciones de seguridad.

P: ¿Cómo comunica Amazon Linux la gravedad de un problema de seguridad?

Amazon Linux Security envía avisos que afectan los productos de Amazon Linux en el Centro de seguridad de Amazon Linux (ALAS). Los avisos de seguridad suelen incluir el identificador de aviso, la gravedad del problema, el identificador de CVE, la descripción general del aviso, los paquetes afectados y la corrección del problema. Las CVE que se mencionan en el aviso tendrán una puntuación CVSS (utilizamos puntuaciones CVSSv3, pero las CVE anteriores a 2018 pueden tener una puntuación CVSSv2) y un vector para los paquetes afectados. La puntuación es un valor decimal entre 0 y 10, y las puntuaciones más altas indican una vulnerabilidad más grave. Amazon Linux se alinea con la puntuación de la calculadora CVSSv3 de marco abierto para determinar la métrica de referencia. La calificación es la forma en que comunicamos la gravedad de los problemas de seguridad a nuestros clientes. Los clientes pueden combinar estas calificaciones con las características claves de su entorno para realizar mejor su evaluación de riesgos.

P: ¿Cómo pueden mantenerse actualizados los clientes sobre los avisos de seguridad de Amazon Linux?

Amazon Linux ofrece avisos de seguridad para humanos y máquinas, en los que el cliente puede suscribirse a nuestras fuentes RSS o configurar herramientas de escaneo para analizar HTML. Las fuentes de nuestros productos se pueden encontrar aquí:

Amazon Linux 1/RSS de Amazon Linux 1
Amazon Linux 2/RSS de Amazon Linux 2
Amazon Linux 2023/RSS de Amazon Linux 2023
 

P: ¿Qué son los extras de Amazon Linux?

Los extras representan un mecanismo de Amazon Linux 2 que permite el consumo de nuevas versiones del software de la aplicación en un sistema operativo estable que cuenta con soporte hasta el 30 de junio de 2025. Con los extras, no es necesario comprometer tanto la estabilidad del sistema operativo para brindar un software actualizado. Por ejemplo, ahora puede instalar versiones más recientes de MariaDB en un sistema operativo estable que cuenta con soporte durante cinco años. Algunos ejemplos de extras son Ansible 2.4.2, memcached 1.5, Nginx 1.12, PostgreSQL 9.6, MariaDB 10.2, Go 1.9, Redis 4.0, R 3.4 y Rust 1.22.1.

P: ¿Cómo funcionan los extras de Amazon Linux?
Los extras proporcionan temas para seleccionar paquetes de software. Cada tema contiene todas las dependencias necesarias para que el software se instale y funcione en Amazon Linux 2. Por ejemplo, Rust es un tema extra en la lista seleccionada que proporciona Amazon. Proporciona la cadena de herramientas y la versión ejecutable de Rust, el lenguaje de programación de sistemas. Este tema incluye el sistema de compilación cmake para Rust, cargo (el administrador de paquetes Rust) y la cadena de herramientas del compilador basada en LLVM para Rust. Los paquetes asociados a cada tema se consumen con el conocido proceso de instalación de yum.

P: ¿Cómo instalo un paquete de software desde el repositorio de extras de Amazon Linux?
Los paquetes disponibles se pueden enumerar con el comando amazon-linux-extras en el intérprete de comandos de Amazon Linux 2. Los paquetes de extras se pueden instalar con el comando “sudo amazon-linux-extras install”.

Ejemplo: $ sudo amazon-linux-extras install rust1

Consulte la documentación de Amazon Linux para obtener más información sobre cómo empezar a utilizar los extras de Amazon Linux.

P: ¿Los paquetes incluidos en los extras pasarán a ser “claves” con el soporte a largo plazo?
Con el tiempo, las tecnologías de extras que evolucionan rápidamente seguirán madurando y estabilizándose, y es posible que se agreguen a la categoría de elementos “claves” de Amazon Linux 2 a la que se aplican las políticas de soporte a largo plazo.

P: ¿Qué aplicaciones de terceros se pueden ejecutar en Amazon Linux 2?

Amazon Linux 2 cuenta con una comunidad de proveedores de software independientes (ISV) en rápido crecimiento, entre los que se incluyen Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera y SignalFX, entre otros.

En la página Amazon Linux 2, encontrará una lista completa de las aplicaciones de ISV compatibles.

Para obtener la certificación de su aplicación con Amazon Linux 2, póngase en contacto con nosotros.

P: ¿Qué es la revisión del kernel en funcionamiento en Amazon Linux 2?

La revisión del kernel en funcionamiento en Amazon Linux 2 es una característica que permite aplicar correcciones de errores y de seguridad a un kernel de Linux en ejecución sin necesidad de reiniciarlo. Los parches que se aplican en el kernel de Amazon Linux en funcionamiento se entregan a los repositorios de paquetes existentes para Amazon Linux 2 y se pueden aplicar con los comandos yum habituales, como “yum update —security”, si se ha activado la característica.

P: ¿Cuáles son los casos de uso de revisión del kernel en funcionamiento en Amazon Linux 2?

Entre los casos de uso en los que se implementa la revisión del kernel en funcionamiento en Amazon Linux 2, se encuentran los siguientes:

• Implementar parches de emergencia para abordar vulnerabilidades de seguridad muy graves y problemas de corrupción de datos sin tiempo de inactividad en el servicio
• Aplicar actualizaciones al sistema operativo sin esperar a que termine de ejecutar las tareas de larga duración, a que los usuarios cierren sesión o a que se programen intervalos de reinicio para aplicar las actualizaciones de seguridad
• Agilizar la implementación de parches de seguridad al eliminar los reinicios continuos que se necesitan con los sistemas de alta disponibilidad

P: ¿Cuándo proporciona AWS parches para el kernel en funcionamiento?

Por lo general, AWS proporcionará parches para el kernel en funcionamiento para corregir las CVE, que AWS califica como críticas e importantes, en el kernel predeterminado de Amazon Linux 2. Las calificaciones críticas e importantes del aviso de seguridad de Amazon Linux generalmente se asocian con la puntuación del sistema de puntuación de las vulnerabilidades comunes (CVSS) de 7 o más. Además, AWS también proporcionará parches que se aplican con el kernel en funcionamiento para corregir ciertos errores a fin de abordar problemas de estabilidad en el sistema y posibles problemas de corrupción de datos. Es posible que haya una pequeña cantidad de problemas que no reciban los parches que se aplican con el kernel en funcionamiento a pesar de su gravedad debido a limitaciones técnicas. Por ejemplo, es posible que las correcciones que cambian el código ensamblador o modifican las firmas de funciones no se hagan a través de parches que se aplican con el kernel en funcionamiento. Los kernels en extras de Amazon Linux 2 y cualquier software de terceros que AWS no haya creado ni haya prestado no recibirán parches para aplicar con el sistema en funcionamiento.

P: ¿La revisión del kernel en funcionamiento en Amazon Linux 2 conlleva algún costo?

Proporcionamos parches para el kernel en funcionamiento para Amazon Linux 2 sin costo alguno.

P: ¿Cómo utilizo la revisión del kernel en funcionamiento en Amazon Linux 2?

Amazon proporciona los parches que se aplican con el kernel en funcionamiento y se pueden usar con el administrador de paquetes yum y las utilidades en Amazon Linux 2 y AWS Systems Manager Patch Manager. Cada parche aplicado con el kernel en funcionamiento se proporciona como un paquete RPM. Actualmente, la revisión del kernel en funcionamiento está desactivada de forma predeterminada en Amazon Linux 2. Puede usar el complemento yum disponible para activar o desactivar la revisión del kernel en funcionamiento. A continuación, puede utilizar los flujos de trabajo existentes en la utilidad yum para aplicar parches de seguridad, incluidos los parches que se aplican con el kernel en funcionamiento. Además, la utilidad de línea de comandos kpatch se puede emplear para enumerar, aplicar y activar o desactivar los parches que se aplican con el kernel en funcionamiento.

• “sudo yum install -y yum-plugin-kernel-livepatch” instala el complemento yum para la capacidad de revisión del kernel en funcionamiento en Amazon Linux.
• “sudo yum kernel-livepatch enable -y” habilita el complemento.
• “sudo systemctl enable kpatch.service” habilita el servicio kpatch, la infraestructura de revisión del kernel en funcionamiento que se utiliza en Amazon Linux.
• “sudo amazon-linux-extras enable livepatch” agrega los puntos de conexión del repositorio de parches implementados con el kernel en funcionamiento.
• “yum check-update kernel” muestra la lista de kernels disponibles para actualización.
• “yum updateinfo list” enumera las actualizaciones de seguridad disponibles.
• “sudo yum update --security” instala los parches disponibles, incluidos los parches implementados con el kernel en funcionamiento que están disponibles como correcciones de seguridad.
• “kpatch list” enumera todos los parches cargados que se implementan con el kernel en funcionamiento.

P: ¿AWS Systems Manager Patch Manager admite la aplicación de parches con el sistema en funcionamiento?

Sí. Puede utilizar AWS SSM Patch Manager para automatizar la aplicación de parches con el kernel en funcionamiento sin necesidad de reiniciarlo inmediatamente cuando el parche esté disponible como parche para aplicar en funcionamiento. Consulte la documentación de SSM Patch Manager para empezar.

P: ¿Dónde puedo obtener información sobre los parches de seguridad proporcionados a través de la revisión del kernel en funcionamiento?

AWS publica detalles sobre la revisión del kernel en funcionamiento para corregir las vulnerabilidades de seguridad en el Centro de seguridad de Amazon Linux.

P: ¿Hay alguna restricción para implementar la revisión del kernel en funcionamiento?

Al aplicar un parche con el kernel en funcionamiento en Amazon Linux 2, no puede realizar simultáneamente la hibernación ni utilizar herramientas de depuración avanzadas, como SystemTap, kprobes, herramientas basadas en eBPF, ni acceder a los archivos de salida de ftrace que utiliza la infraestructura de revisión de kernels en funcionamiento.

P: ¿Cómo soluciono los problemas que pueden producirse al aplicar parches con el kernel en funcionamiento en Amazon Linux 2?

Si tiene problemas con un parche aplicado con el kernel en funcionamiento, desactive el parche e informe a AWS Support o a Amazon Linux Engineering a través de una publicación en los foros de AWS.

P: ¿Los parches de revisión del kernel en funcionamiento en Amazon Linux 2 eliminan por completo la necesidad de reiniciar el sistema para aplicar los parches de seguridad?

La revisión del kernel en funcionamiento de Amazon Linux 2 no elimina por completo la necesidad de reiniciar el sistema operativo, sino que reduce considerablemente la cantidad de reinicios que se requieren para solucionar problemas de seguridad importantes y críticos fuera de los periodos de mantenimiento planificados. Cada kernel de Linux en Amazon Linux 2 recibirá parches que se aplican con el sistema en funcionamiento aproximadamente durante un máximo de 3 meses después del lanzamiento de un kernel de Amazon Linux. Después de cada periodo de 3 meses, es necesario reiniciar el sistema operativo con la versión más reciente del kernel de Amazon Linux para seguir recibiendo parches que se aplican en funcionamiento.

P: ¿En qué instancias EC2 y entornos en las instalaciones se admite la revisión del kernel en funcionamiento con Amazon Linux 2?

La revisión del kernel en funcionamiento de Amazon Linux 2 es compatible con todas las plataformas x86_64 (AMD/Intel de 64 bits) que admiten Amazon Linux 2. Esto incluye todas las instancias EC2 de HVM, VMware Cloud en AWS, VMware ESXi, VirtualBox, KVM, Hyper-V y KVM. En este momento, las plataformas basadas en ARM no son compatibles.

P: ¿AWS seguirá proporcionando parches regulares (que no se implementan con el sistema en funcionamiento) para las actualizaciones del sistema operativo que vienen con parches que se aplican con el kernel en funcionamiento?

Sí, AWS seguirá proporcionando parches regulares para todas las actualizaciones del sistema operativo. Como regla general, los parches regulares y los parches implementados con el kernel en funcionamiento se proporcionarán al mismo tiempo.

P: ¿Qué ocurre si se reinician los sistemas Amazon Linux 2 que han implementado parches con el kernel en funcionamiento?

De forma predeterminada, cuando se realiza un reinicio, los parches aplicados con el kernel en funcionamiento se sustituyen con parches equivalentes normales que no se implementan en el momento. También puede reiniciar los sistemas sin reemplazar los parches aplicados con el kernel en funcionamiento por parches normales. Consulte la documentación de Amazon Linux 2 sobre la revisión del kernel en funcionamiento para obtener más información.

P: ¿Afecta la revisión del kernel en funcionamiento a la compatibilidad con la ABI de Amazon Linux 2?

La revisión del kernel en funcionamiento en Amazon Linux 2 no cambia la compatibilidad con la ABI del kernel de Amazon Linux 2.

P: ¿Cómo puedo obtener soporte premium para los problemas que puedan surgir al aplicar los parches con el kernel en funcionamiento?

Los planes Business y Enterprise de AWS Support incluyen soporte premium para todas las capacidades de Amazon Linux, incluida la revisión del kernel en funcionamiento. AWS solo admite los parches que se aplican con el kernel en funcionamiento proporcionados por AWS y recomienda ponerse en contacto con su proveedor en caso de problemas con las soluciones de revisión del kernel en funcionamiento de terceros. AWS también recomienda utilizar solo una solución de revisión del kernel en funcionamiento en Amazon Linux 2.

P: ¿Cómo se indicarán los parches implementados con el kernel en funcionamiento en el Centro de seguridad de Amazon Linux?

Aparecerá una fila específica en las listas del Centro de seguridad de Amazon Linux para cada parche implementado con el kernel en funcionamiento. La entrada tendrá una identificación, como “ALASLIVEPATCH-<datestamp>”, y el nombre del paquete aparecerá como “kernel-livepatch-<kernel-version>”.

P: ¿Durante cuánto tiempo un kernel de Amazon Linux recibe los parches que se implementan en funcionamiento?

Una versión del kernel recibirá parches que se aplican en funcionamiento durante aproximadamente 3 meses. Amazon Linux proporcionará parches que se implementan en funcionamiento para los últimos 6 kernels lanzados. Tenga en cuenta que la revisión del kernel en funcionamiento solo se admitirá en el kernel predeterminado del lanzamiento en Amazon Linux 2. La próxima generación de kernel de los extras no recibirá parches que se implementen en funcionamiento.

Para saber si el kernel de Linux actual sigue recibiendo parches en funcionamiento o no, y cuándo finalizará el periodo de soporte, utilice el siguiente comando yum:

“yum kernel-livepatch supported”

P: ¿Cuáles son los flujos de trabajo de yum compatibles con la revisión del kernel en funcionamiento?

El complemento yum de revisión del kernel en funcionamiento es compatible con todos los flujos de trabajo que normalmente se admiten en la utilidad de administración de paquetes yum. Por ejemplo, “yum update”, “yum update kernel”, “yum update —security”, “yum update all”.

P: ¿Están firmados los parches aplicados con el kernel en funcionamiento?

Los paquetes RPM de los parches que se implementan con los kernels en funcionamiento se firman mediante claves GPG. Sin embargo, los módulos del kernel no están firmados actualmente.