Perguntas frequentes sobre o Amazon Linux 2

P: O que é o Amazon Linux 2?

O Amazon Linux 2 corresponde a um sistema operacional do Amazon Linux que fornece um ambiente moderno para aplicações com os aprimoramentos mais recentes da comunidade Linux e oferece suporte de longo prazo. Além das imagens de máquina da Amazon (AMI) e dos formatos de imagem de contêiner, o Amazon Linux 2 está disponível como uma imagem de máquina virtual para desenvolvimentos e testes on-premises. Isso possibilita que você desenvolva, teste e certifique suas aplicações com facilidade e direto do ambiente de desenvolvimento local.

P: Quando o suporte para o Amazon Linux 2 será encerrado?

A data de fim do suporte (fim da vida útil ou EOL, na sigla em inglês) para o Amazon Linux 2 foi estendida por dois anos, de 30 de junho de 2023 a 30 de junho de 2025, com a finalidade de fornecer aos clientes tempo suficiente para migrar para a nova versão.

P: Quais são as diferenças entre o Amazon Linux 2 e o Amazon Linux 2023?

Consulte a documentação para saber mais sobre as principais diferenças entre essas distribuições.

P: Quais são os benefícios do uso do Amazon Linux 2?

De maneira semelhante ao Amazon Linux AMI, o Amazon Linux 2 oferece suporte aos recursos mais recentes para instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e inclui pacotes que habilitam a fácil integração com a AWS. Ele é otimizado para uso no Amazon EC2 com uma versão mais recente e aperfeiçoada do kernel Linux. Como resultado, diversas workloads de clientes apresentam melhor performance no Amazon Linux 2. As ofertas do Amazon Linux 2 terão suporte até 30 de junho de 2025 com atualizações de segurança e de manutenção. O Amazon Linux 2 está disponível como imagens de máquinas virtuais on-premises, permitindo desenvolvimentos e testes locais.

P: Quais workloads ou casos de uso são compatíveis com o Amazon Linux 2?

O Amazon Linux 2 é a melhor opção para uma ampla variedade de workloads virtualizadas e conteinerizadas, como bancos de dados, análises de dados, aplicações de linha de negócios, aplicações para Web e para a área de trabalho, e muitas outras em contextos de produção. Ele também está disponível para uso em instâncias de bare metal do EC2 tanto como sistema operacional de bare metal quanto como host de virtualização.

P: Quais são os principais componentes do Amazon Linux 2?

Os principais componentes do Amazon Linux 2 são:

1. Um kernel Linux aperfeiçoado para performance no Amazon EC2.
2. Um conjunto de pacotes centrais, incluindo systemd, GCC 7.3, Glibc 2.26 e Binutils 2.29.1, que recebem suporte de longo prazo (LTS, na sigla em inglês) da AWS.
3. Um canal adicional para tecnologias em rápida evolução que, provavelmente, serão atualizadas com frequência e fora do modelo de suporte de longo prazo (LTS).

P: Como o Amazon Linux 2 se diferencia do Amazon Linux AMI?
As principais diferenças entre o Amazon Linux 2 e o Amazon Linux AMI são:

1. O Amazon Linux 2 oferecerá suporte de longo prazo até 30 de junho de 2025.
2. O Amazon Linux 2 está disponível como imagens de máquinas virtuais para desenvolvimentos e testes on-premises.
3. O Amazon Linux 2 fornece o serviço systemd e o gerenciador de sistemas em oposição ao sistema Init System V no Amazon Linux AMI.
4. O Amazon Linux 2 está equipado com kernel Linux, biblioteca C, compilador e ferramentas atualizados.
5. O Amazon Linux 2 oferece a capacidade de instalar pacotes de software adicionais por meio de mecanismos extras.

P: Como posso começar a usar o Amazon Linux 2 na AWS?

A AWS fornece uma imagem de máquina da Amazon (AMI) para o Amazon Linux 2, que você pode usar para iniciar uma instância do console do Amazon EC2, do AWS SDK e da CLI. Consulte a documentação do Amazon Linux para obter mais detalhes.

P: Existem custos associados à execução do Amazon Linux 2 no Amazon EC2?

Não. Não há cobranças adicionais pela execução do Amazon Linux 2. As cobranças padrão do Amazon EC2 e da AWS são aplicáveis pela execução de instâncias do Amazon EC2 e outros serviços.

P: Quais tipos de instância do Amazon EC2 são compatíveis com o Amazon Linux 2?

O Amazon Linux 2 oferece suporte a todos os tipos de instância do Amazon EC2 compatíveis com AMIs de HVM. O Amazon Linux 2 não oferece suporte a instâncias mais antigas que requerem a funcionalidade de paravirtualização (PV).

P: O Amazon Linux 2 oferece suporte para aplicações e bibliotecas de 32 bits?

Sim. O Amazon Linux 2 oferece suporte para aplicações e bibliotecas de 32 bits. Se você estiver executando uma versão do Amazon Linux 2 lançada antes de 4/10/2018, poderá executar o comando “yum upgrade” para obter o suporte completo de 32 bits.  

P: O Amazon Linux 2 é equipado com uma área de trabalho de interface gráfica do usuário (GUI, na sigla em inglês)?
Sim. O ambiente de área de trabalho MATE é disponibilizado como um extra no Amazon Linux 2. O Amazon Workspaces fornece áreas de trabalho em nuvem baseadas no Amazon Linux 2 com uma GUI. Você pode aprender mais aqui .

P: É possível visualizar o código-fonte dos componentes do Amazon Linux 2?

Sim. A ferramenta yumdownloader --source no Amazon Linux 2 fornece acesso ao código-fonte para diversos componentes.

P: Por que o Python 2.7 ainda faz parte do Amazon Linux 2?

Continuaremos a fornecer patches de segurança essenciais para o Python 2 de acordo com o nosso compromisso de LTS para os pacotes centrais do Amazon Linux 2 (até junho de 2025), embora a comunidade de desenvolvedores do Python tenha declarado o fim da vida útil do Python 2.7 em janeiro de 2020.

P: Devo migrar meu código para o Python 3 e interromper o uso do Python 2.7?

Recomendamos fortemente que nossos clientes instalem o Python 3 em seus sistemas do Amazon Linux 2 e migrem seus códigos e suas aplicações para o Python 3.

P: O Amazon Linux 2 está interrompendo o uso do Python 2.7?

Não existem planos para alterar o interpretador Python padrão. Nossa intenção é manter o Python 2.7 como padrão durante toda a vida útil do Amazon Linux 2. Faremos backport de correções de segurança para nossos pacotes do Python 2.7, conforme necessário.

P: Por que o Amazon Linux 2 não realiza a migração do Python 2.7 para o gerenciador de pacotes “yum” ou migra para o DNF, que é baseado no Python 3?

Durante uma versão de LTS do sistema operacional, o risco de fazer alterações fundamentais, substituir ou adicionar outro gerenciador de pacotes é extremamente alto. Portanto, ao planejar nossa migração do Python 3 para o Amazon Linux, decidimos fazer isso através da delimitação de uma liberação principal, em vez de fazê-la no Amazon Linux 2. Essa é uma abordagem compartilhada por outras distribuições Linux baseadas em RPM, mesmo aquelas sem compromissos de LTS.

P: Como o kernel 5.10 se difere do kernel 4.14?

O kernel 5.10 introduz diversos recursos e melhorias de performance, incluindo otimizações para processadores Ice Lake da Intel e Graviton 2 com a finalidade de impulsionar as instâncias do EC2 de última geração. 

Do ponto de vista da segurança, os clientes se beneficiam da VPN WireGuard, que ajuda a configurar uma rede privada virtual eficaz com uma baixa superfície de ataque e permite criptografia com menos sobrecarga. O kernel 5.10 também introduz um recurso de bloqueio do kernel para impedir modificações não autorizadas de imagens do kernel e diversas melhorias de BPF, incluindo a política CO-RE (Compile Once - Run Everywhere).

Os clientes que executam operações intensivas de entrada e de saída se beneficiarão de uma melhor performance de gravação, um compartilhamento mais seguro de anéis io_uring entre processos para a obtenção de operações de entrada e de saída mais rápidas e um suporte ao novo sistema exFAT para aprimoramento da compatibilidade com dispositivos de armazenamento. Com a adição do MultiPath TCP (MPTCP), os clientes com diversas interfaces de rede podem combinar todos os caminhos de rede disponíveis para aumentar o throughput e reduzir as falhas na rede.

P: O que está incluso no suporte de longo prazo para o Amazon Linux 2?

O suporte de longo prazo para o Amazon Linux 2 é aplicável somente aos pacotes centrais e inclui:
1) A AWS fornecerá atualizações de segurança e correções de bugs para todos os pacotes centrais até 30 de junho de 2025.
2) A AWS manterá a compatibilidade para a Application Binary Interface (ABI) no espaço do usuário para os seguintes pacotes centrais:

elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs e zlib

3) A AWS fornecerá compatibilidade para a Application Binary Interface (ABI) em todos os outros pacotes centrais, a menos que não seja possível fornecer essa compatibilidade por motivos que ultrapassam o controle da AWS.

P: O Amazon Linux 2 mantém a compatibilidade para a ABI no espaço do kernel?
Não. O Amazon Linux 2 não mantém a compatibilidade para a ABI no espaço do kernel. Se houver uma alteração no kernel Linux upstream que prejudique a estabilidade da ABI, suas aplicações que dependem de drivers de kernel de terceiros poderão requerer modificações adicionais.

P: A AWS fará backport de correções de segurança para o Amazon Linux 2?
Sim. Regularmente, a Amazon extrai correções da versão mais recente dos pacotes de software upstream e as aplica à versão do pacote no Amazon Linux 2. Durante esse processo, a Amazon isola a correção de quaisquer outras alterações, garante que as correções não introduzirão efeitos colaterais indesejados e, em seguida, aplica as correções.

P: As políticas de suporte de longo prazo se aplicam aos tópicos extras?
O conteúdo dos tópicos extras está isento da política do Amazon Linux em relação ao suporte de longo prazo e à compatibilidade binária. Os tópicos extras fornecem acesso a uma lista selecionada de tecnologias em rápida evolução e, provavelmente, serão atualizados com frequência. Quando novas versões de pacotes em tópicos extras forem liberadas, o suporte será fornecido somente para os pacotes mais atuais. No decorrer do tempo, essas tecnologias continuarão a amadurecer e a se estabilizar e poderão, eventualmente, ser adicionadas aos repositórios “centrais” do Amazon Linux 2 aos quais as políticas de suporte de longo prazo do Amazon Linux 2 se aplicam.

P: Compilações adicionais do Amazon Linux 2 serão fornecidas após a liberação das compilações do LTS?
Sim. As novas compilações direcionarão para os mesmos repositórios e incluirão o conjunto cumulativo de atualizações de segurança e de recursos para evitar a necessidade de aplicar atualizações pendentes.

P: Onde é possível obter atualizações para o Amazon Linux 2?
As atualizações para o Amazon Linux 2 são fornecidas em um repositório configurado previamente e hospedado em cada região da AWS. Na inicialização de uma nova instância, o Amazon Linux tenta instalar quaisquer atualizações de segurança do espaço do usuário que sejam classificadas como essenciais ou importantes. Também é possível habilitar ou desabilitar a instalação automática de patches de segurança essenciais e importantes no momento da inicialização da instância.

P: Como é possível automatizar a aplicação de patches de segurança no Amazon Linux 2 em grande escala?

O Gerenciador de Patches do AWS Systems Manager funciona com o Amazon Linux 2 para automatizar o processo de aplicação de patches em instâncias do Amazon Linux 2 em grande escala. O Gerenciador de Patches pode verificar se há patches ausentes, ou verificar e instalar patches ausentes em grandes grupos de instâncias. O Gerenciador de Patches do Systems Manager também pode ser usado com a finalidade de instalar patches para atualizações que não estão relacionadas à segurança.

P: Quais opções de suporte premium estão disponíveis para o Amazon Linux 2?
O suporte para o uso do Amazon Linux 2 na Amazon Web Services (AWS) está incluso com a assinatura do AWS Support.

No momento, o AWS Support não abrange o uso on-premises do Amazon Linux 2. O fórum do Amazon Linux 2 e a documentação do Amazon Linux 2 são as principais fontes de suporte para o uso on-premises do Amazon Linux 2. Você pode publicar perguntas, relatar bugs e efetuar solicitações de recursos nos fóruns do Amazon Linux 2.

P: É possível realizar uma atualização sem interrupção do Amazon Linux 2 LTS Candidate 2 para a versão de LTS do Amazon Linux 2?
Sim. É possível realizar uma atualização sem interrupção do Amazon Linux 2 LTS Candidate 2 para o Amazon Linux 2. No entanto, as alterações na compilação final do LTS podem causar falhas na sua aplicação. Recomendamos testar a aplicação em uma nova instalação do Amazon Linux 2 antes de realizar a migração.

P: A AWS oferecerá suporte ao Amazon Linux AMI daqui para frente?

Sim. Para facilitar a migração para o Amazon Linux 2, a AWS fornecerá atualizações de segurança para a última versão do Amazon Linux e para as imagens de contêiner até 31 de dezembro de 2020. Você também pode usar todos os canais de suporte existentes, como o AWS Premium Support e o fórum de discussão do Amazon Linux para continuar para enviar solicitações de suporte.

P: O Amazon Linux 2 é compatível com versões anteriores da versão existente do Amazon Linux AMI?
Devido à inclusão de componentes, como o systemd, no Amazon Linux 2, suas aplicações em execução na versão atual do Amazon Linux podem requerer alterações adicionais para serem executadas no Amazon Linux 2.

P: É possível realizar uma atualização local de uma versão existente do Amazon Linux AMI para o Amazon Linux 2?
Não. Não há suporte para uma atualização local da imagem existente do Amazon Linux para o Amazon Linux 2. Recomendamos testar a aplicação em uma nova instalação do Amazon Linux 2 antes de realizar a migração.

P: É possível realizar uma atualização sem interrupção em instâncias que executam o Amazon Linux AMI para o Amazon Linux 2?
Não. As instâncias que executam o Amazon Linux não serão atualizadas para o Amazon Linux 2 com mecanismos de atualização sem interrupção. Portanto, não há interrupção para as aplicações existentes. Consulte a documentação do Amazon Linux e as ferramentas de migração para obter mais detalhes.

P: Em quais plataformas de virtualização on-premises o Amazon Linux 2 é executado?
No momento, as imagens de máquina virtual do Amazon Linux 2 estão disponíveis nas plataformas de virtualização KVM, Microsoft Hyper-V, Oracle VM VirtualBox e VMware ESXi para o uso em desenvolvimentos e testes. Estamos buscando obter a certificação para essas plataformas de virtualização.

P: Como é possível começar a usar a imagem de máquina virtual do Amazon Linux 2 em meu Ambiente de Desenvolvimento local?
Uma imagem de máquina virtual para cada hipervisor com suporte está disponível para download. Após fazer download da imagem, siga a documentação do Amazon Linux para começar a usar.

P: Existem custos associados à execução do Amazon Linux 2 on-premises?
Não. Não há cobranças adicionais pela execução do Amazon Linux 2 on-premises.

P: É obrigatório ter uma conta da AWS para executar o Amazon Linux 2 on-premises?
Não. Não há necessidade de ter uma conta da AWS para executar o Amazon Linux 2 on-premises.

P: Quais são os requisitos mínimos de sistema para a execução do Amazon Linux 2?
No mínimo, o Amazon Linux 2 precisa de uma máquina virtual de 64 bits com 512 MB de memória, uma CPU virtual e um BIOS emulado.

P: As imagens de VM on-premises do Amazon Linux 2 receberão as atualizações de segurança da AWS?
Sim. A AWS fornecerá atualizações de segurança e correções de bugs para todos os pacotes centrais até 30 de junho de 2025. Além disso, a AWS manterá a compatibilidade para a Application Binary Interface (ABI) no espaço do usuário para os pacotes centrais.

P: É possível obter suporte pago para imagens de VM on-premises do Amazon Linux 2 com o AWS Support?
Não. No momento, o AWS Support não oferece suporte pago para as VMs do Amazon Linux 2 em execução on-premises. O suporte da comunidade por meio dos fóruns do Amazon Linux 2 é a principal fonte de suporte para responder perguntas e solucionar problemas originados do uso on-premises. A documentação do Amazon Linux 2 fornece orientação para obter máquinas virtuais e contêineres do Amazon Linux 2 que sejam operacionais, bem como para configurar o sistema operacional e instalar aplicações.

P: Como o Amazon Linux avalia CVEs?

O Amazon Linux avalia vulnerabilidades e exposições comuns (CVEs, na sigla em inglês) descobertas com processos internos, analisa os riscos potenciais para seus produtos e toma medidas, como a emissão de um aviso ou de uma atualização de segurança. As CVEs recebem uma pontuação do Common Vulnerability Scoring System (CVSS), que é um método padrão para pontuar e classificar a gravidade das vulnerabilidades. A principal fonte de dados para CVE é o National Vulnerability Database (NVD). O Amazon Linux também reúne inteligência de segurança de outras fontes, como recomendações de fornecedores e relatórios de clientes e pesquisadores.

Saiba mais >>

P: Por que um verificador de segurança relata uma CVE não corrigida em um pacote do Amazon Linux quando um aviso de segurança do Amazon Linux afirma que a CVE foi corrigida nessa versão?

O Amazon Linux, como a maioria das distribuições Linux, realiza regularmente o backport de correções de segurança para versões de pacotes estáveis ​​fornecidas em seus repositórios. Quando esses pacotes são atualizados com um backport, o boletim de segurança do Amazon Linux para o determinado problema listará as versões específicas do pacote nas quais o problema foi corrigido para o Amazon Linux. Os verificadores de segurança que contam com o versionamento dos autores de um projeto às vezes não detectam que uma determinada correção de CVE foi aplicada em uma versão mais antiga. Os clientes podem consultar o Amazon Linux Security Center (ALAS) para obter atualizações sobre os problemas e as correções de segurança.

P: Como o Amazon Linux comunica a gravidade de um problema de segurança?

A segurança do Amazon Linux comunica avisos de segurança que afetam os produtos do Amazon Linux no Amazon Linux Security Center (ALAS). Normalmente, os avisos de segurança incluem o ID do aviso, a gravidade do problema, o ID da CVE, a visão geral do aviso, os pacotes afetados e a correção do problema. As CVEs referenciadas no aviso terão uma pontuação do CVSS (usamos pontuações do CVSSv3, mas as CVEs anteriores a 2018 podem ter uma pontuação do CVSSv2) e um vetor para os pacotes afetados. A pontuação corresponde a um valor decimal entre zero e dez, e as pontuações mais altas indicam uma vulnerabilidade mais grave. O Amazon Linux está alinhado à pontuação da calculadora do CVSSv3 de estrutura aberta para determinar a métrica de base. A classificação é a forma como comunicamos a gravidade dos problemas de segurança aos nossos clientes. Os clientes podem combinar essas classificações com as principais características de seus ambientes para obter uma avaliação de risco mais apropriada.

P: Como os clientes podem se manter atualizados sobre os avisos de segurança do Amazon Linux?

O Amazon Linux oferece avisos de segurança úteis para humanos e para máquinas, nos quais o cliente pode assinar nossos feeds RSS ou configurar ferramentas de verificação para análise de HTML. Os feeds para nossos produtos podem ser encontrados aqui:

Amazon Linux 1 / Amazon Linux 1 RSS
Amazon Linux 2 / Amazon Linux 2 RSS
Amazon Linux 2023 / Amazon Linux 2023 RSS
 

P: O que é o Extras do Amazon Linux?

O Extras é um mecanismo no Amazon Linux 2 que possibilita o consumo de novas versões do software de aplicações em um sistema operacional estável com suporte até 30 de junho de 2025. O Extras ajuda a atenuar o compromisso entre a estabilidade do sistema operacional e a atualização do software disponível. Por exemplo, no momento, é possível instalar as versões mais recentes do MariaDB em um sistema operacional estável com suporte por cinco anos. Exemplos de Extras incluem Ansible 2.4.2, memcached 1.5, nginx 1.12, Postgresql 9.6, MariaDB 10.2, Go 1.9, Redis 4.0, R 3.4 e Rust 1.22.1.

P: Como funciona o Extras do Amazon Linux?
O Extras fornece tópicos para a seleção de pacotes de software. Cada tópico contém todas as dependências obrigatórias para que o software seja instalado e funcione no Amazon Linux 2. Por exemplo, o Rust é um tópico do Extras na lista selecionada fornecida pela Amazon. Ele fornece a cadeia de ferramentas e os runtimes para o Rust, a linguagem de programação de sistemas. Este tópico inclui o sistema de compilação cmake para o Rust, o gerenciador de pacotes do Rust cargo -, e a cadeia de ferramentas do compilador baseado em LLVM para o Rust. Os pacotes associados a cada tópico são consumidos com o conhecido processo de instalação do yum.

P: Como é possível instalar um pacote de software do repositório Extras do Amazon Linux?
Os pacotes disponíveis podem ser listados com o comando amazon-linux-extras no shell do Amazon Linux 2. Os pacotes do Extras podem ser instalados com o comando “sudo amazon-linux-extras install”.

Exemplo: $ sudo amazon-linux-extras install rust1

Consulte a documentação do Amazon Linux para obter mais detalhes sobre os conceitos básicos do Extras do Amazon Linux.

P: Os pacotes no Extras serão movidos para os repositórios “centrais” com o suporte de longo prazo?
No decorrer do tempo, as tecnologias em rápida evolução no Extras continuarão a amadurecer e a se estabilizar e poderão ser adicionadas aos repositórios “centrais” do Amazon Linux 2, aos quais as políticas de suporte de longo prazo se aplicam.

P: Quais aplicações de terceiros têm suporte para execução no Amazon Linux 2?

O Amazon Linux 2 tem uma comunidade em rápido crescimento de provedores de software independentes (ISVs, na sigla em inglês), incluindo Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX e muitos outros.

Uma lista completa de aplicações de ISVs com suporte está disponível na página Amazon Linux 2.

Para obter a certificação de sua aplicação com o Amazon Linux 2, entre em contato conosco.

P: O que é o Kernel Live Patching no Amazon Linux 2?

O Kernel Live Patching no Amazon Linux 2 corresponde a um recurso que possibilita a aplicação de correções de segurança e de bugs a um kernel Linux em execução sem a necessidade de reinicialização. A aplicação de patches em tempo real para o kernel do Amazon Linux é disponibilizada aos repositórios de pacotes existentes para o Amazon Linux 2 e pode ser aplicada usando comandos yum regulares, como “yum update —security” quando o recurso for ativado.

P: Quais são os casos de uso do Kernel Live Patching no Amazon Linux 2?

Os casos de uso direcionados ao Kernel Live Patching no Amazon Linux 2 incluem:

• Aplicação de patches de emergência para abordar vulnerabilidades de segurança de alta gravidade e bugs de corrupção de dados sem causar tempo de inatividade para o serviço.
• Aplicação de atualizações do sistema operacional sem a necessidade de aguardar a conclusão de tarefas com execução prolongada, o logout dos usuários ou os intervalos de tempo de reinicialização programados para aplicar as atualizações de segurança.
• Aceleração da implantação de patches de segurança ao eliminar reinicializações contínuas obrigatórias em sistemas altamente disponíveis.

P: Quando a AWS fornece a aplicação de patches do kernel em tempo real?

Normalmente, a AWS fornecerá a aplicação de patches do kernel em tempo real para corrigir CVEs, que são classificadas como essenciais e importantes pela AWS, para o kernel padrão do Amazon Linux 2. As classificações do aviso de segurança essencial ou importante do Amazon Linux, geralmente, são mapeadas para a pontuação do Common Vulnerability Scoring System (CVSS) de sete e de valores superiores. Além disso, a AWS também fornecerá a aplicação de patches do kernel em tempo real para correções de bugs selecionadas para a solução de problemas de estabilidade do sistema e possíveis problemas de corrupção de dados. Pode haver um pequeno número de problemas que não recebem a aplicação de patches do kernel em tempo real, apesar da gravidade, devido a limitações técnicas. Por exemplo, correções que alteram o código de montagem ou modificam assinaturas de funções podem não receber a aplicação de patches do kernel em tempo real. Os kernels no Extras do Amazon Linux 2 e em quaisquer softwares de terceiros que não sejam desenvolvidos e fornecidos pela AWS não receberão a aplicação de patches do kernel em tempo real.

P: Existem custos associados ao uso do Kernel Live Patching no Amazon Linux 2?

Fornecemos a aplicação de patches do kernel em tempo real para o Amazon Linux 2 sem custos.

P: Como faço para usar o Kernel Live Patching no Amazon Linux 2?

A aplicação de patches do kernel em tempo real é fornecida pela Amazon e pode ser consumida com o gerenciador de pacotes yum e com utilitários no Amazon Linux 2 e no Gerenciador de Patches do AWS Systems Manager. Cada aplicação de patches do kernel em tempo real é fornecida como um pacote RPM. No momento, o Kernel Live Patching está desabilitado por padrão no Amazon Linux 2. Você pode usar o plug-in yum disponível para habilitar e desabilitar o Kernel Live Patching. Em seguida, é possível usar os fluxos de trabalho existentes no utilitário yum para aplicar patches de segurança, incluindo a aplicação de patches do kernel em tempo real. Além disso, o utilitário de linha de comando kpatch pode ser usado para enumerar, aplicar e habilitar e desabilitar a aplicação de patches do kernel em tempo real.

• “sudo yum install -y yum-plugin-kernel-livepatch” instala o plug-in yum para a funcionalidade do Kernel Live Patching no Amazon Linux.
• “sudo yum kernel-livepatch enable -y” habilita o plug-in.
• “sudo systemctl enable kpatch.service” habilita o serviço kpatch, a infraestrutura do Kernel Live Patching usada no Amazon Linux.
• “sudo amazon-linux-extras enable livepatch” adiciona os endpoints do repositório de aplicação de patches do kernel em tempo real.
• “yum check-update kernel” exibe a lista de kernels disponíveis para atualização.
• “yum updateinfo list” lista as atualizações de segurança disponíveis.
• “sudo yum update --security” instala os patches disponíveis que incluem a aplicação de patches do kernel em tempo real disponíveis como correções de segurança.
• “kpatch list” para listar todas as aplicações de patches do kernel em tempo real carregadas.

P: O Gerenciador de Patches do AWS Systems Manager oferece suporte para a aplicação de patches em tempo real?

Sim. É possível usar o Gerenciador de Patches do AWS SSM para automatizar a aplicação de patches do kernel em tempo real sem a necessidade de reinicialização imediata quando a aplicação de patches estiver disponível como uma aplicação de patches em tempo real. Acesse a documentação do Gerenciador de Patches do SSM para começar a usar.

P: Onde é possível obter detalhes sobre os patches de segurança fornecidos por meio do Kernel Live Patching?

A AWS publica detalhes sobre a aplicação de patches do kernel em tempo real para a correção de vulnerabilidades de segurança no Amazon Linux Security Center.

P: Há alguma restrição ao uso do Kernel Live Patching?

Ao aplicar um patch do kernel em tempo real no Amazon Linux 2, você não pode executar simultaneamente a hibernação ou usar ferramentas de depuração avançadas, como SystemTap, kprobes e ferramentas baseadas em eBPF. Além disso, não é possível acessar arquivos de saída ftrace usados ​​pela infraestrutura do Kernel Live Patching.

P: Como é possível remediar problemas que podem ocorrer durante a aplicação de patches do kernel em tempo real no Amazon Linux 2?

Se você encontrar problemas com uma aplicação de patches do kernel em tempo real, desabilite a aplicação de patches e informe o AWS Support ou a equipe de engenharia do Amazon Linux com uma publicação nos fóruns da AWS.

P: O Kernel Live Patching no Amazon Linux 2 elimina totalmente a necessidade de reinicializações para a aplicação de patches de segurança?

O Kernel Live Patching no Amazon Linux 2 não elimina totalmente a necessidade de reinicializações do sistema operacional, mas fornece uma redução significativa das reinicializações para a correção de problemas de segurança importantes e essenciais de forma externa às janelas de manutenção planejadas. Cada kernel Linux no Amazon Linux 2 receberá a aplicação de patches em tempo real por aproximadamente três meses após a liberação de um kernel Amazon Linux. Após cada período de três meses, o sistema operacional precisa ser reinicializado no kernel Amazon Linux mais recente para continuar a receber atualizações de patches do kernel em tempo real.

P: Em quais instâncias do EC2 e ambientes on-premises o Kernel Live Patching no Amazon Linux 2 é compatível?

O Kernel Live Patching no Amazon Linux 2 é compatível com todas as plataformas x86_64 (AMD/Intel de 64 bits) em que o Amazon Linux 2 é compatível. Isso inclui todas as instâncias HVM EC2, VMware Cloud na AWS, VMware ESXi, VirtualBox, KVM, Hyper-V e KVM. No momento, as plataformas baseadas em ARM não têm suporte.

P: A AWS continuará a fornecer a aplicação de patches regulares (“sem ser em tempo real”) para as atualizações do sistema operacional equipadas com a aplicação de patches do kernel em tempo real?

Sim. A AWS continuará a fornecer atualizações de patches regulares para todas as atualizações do sistema operacional. Como regra geral, a aplicação de patches regulares e de patches do kernel em tempo real será fornecida ao mesmo tempo.

P: O que acontece se uma reinicialização for executada em sistemas do Amazon Linux 2 que tenham tido a aplicação de patches do kernel em tempo real?

Por padrão, quando uma reinicialização é executada, os patches do kernel em tempo real são substituídos por patches regulares “sem ser em tempo real” equivalentes. Também é possível executar reinicializações sem substituir os patches do kernel em tempo real por patches regulares. Consulte a documentação do Kernel Live Patching no Amazon Linux 2 para obter detalhes.

P: O Kernel Live Patching afeta a compatibilidade da ABI do Amazon Linux 2?

O Kernel Live Patching no Amazon Linux 2 não altera a compatibilidade da ABI do kernel do Amazon Linux 2.

P: Como é possível obter suporte premium para problemas que podem ser encontrados durante a aplicação de patches do kernel em tempo real?

Os planos Business e Enterprise do AWS Support incluem suporte premium para todas as funcionalidades do Amazon Linux, incluindo o Kernel Live Patching. A AWS oferece suporte somente para a aplicação de patches do kernel em tempo real fornecidos pela AWS e recomenda entrar em contato com seu fornecedor se ocorrerem problemas com soluções de terceiros de aplicação de patches do kernel em tempo real. A AWS também recomenda que você use somente uma solução de aplicação de patches do kernel em tempo real no Amazon Linux 2.

P: Como as aplicações de patches do kernel em tempo real serão indicadas no Amazon Linux Security Center?

Uma linha dedicada nas listagens do Amazon Linux Security Center aparecerá para cada aplicação de patches do kernel em tempo real. A entrada terá uma identificação como “ALASLIVEPATCH-<datestamp>” e o nome do pacote aparecerá como “kernel-livepatch-<kernel-version>”.

P: Por quanto tempo um kernel Amazon Linux recebe aplicações de patches em tempo real?

Uma versão do kernel receberá aplicações de patches em tempo real por, aproximadamente, três meses. O Amazon Linux fornecerá aplicações de patches do kernel em tempo real para as últimas seis versões de kernels. Observe que o Kernel Live Patching terá suporte somente no kernel padrão liberado no Amazon Linux 2. O kernel de próxima geração no Extras não receberá a aplicação de patches do kernel em tempo real.

Para descobrir se o kernel Linux atual continua recebendo aplicações de patches em tempo real e quando a janela de suporte termina, use o seguinte comando yum:

“yum kernel-livepatch supported”

P: Quais são os fluxos de trabalho yum compatíveis com o Kernel Live Patching?

O plug-in yum para a aplicação de patches do kernel em tempo real é compatível com todos os fluxos de trabalho que normalmente têm suporte no utilitário de gerenciamento de pacotes yum. Por exemplo: “yum update”, “yum update kernel”, “yum update —security” e “yum update all”.

P: As aplicações de patches do kernel em tempo real são assinadas?

Os RPMs para a aplicação de patches do kernel em tempo real são assinados por meio de chaves GPG. No entanto, os módulos do kernel não estão assinados no momento.