Câu hỏi chung
Hỏi: Amazon Linux 2 là gì?
Amazon Linux 2 là hệ điều hành Amazon Linux cung cấp môi trường ứng dụng hiện đại với những cải tiến mới nhất từ cộng đồng Linux và cung cấp hỗ trợ lâu dài. Ngoài Hình ảnh máy Amazon (AMI) và định dạng hình ảnh bộ chứa, Amazon Linux 2 còn có sẵn dưới dạng hình ảnh máy ảo để phát triển và kiểm thử tại chỗ, cho phép bạn dễ dàng phát triển, kiểm thử và chứng thực các ứng dụng của mình ngay từ môi trường phát triển cục bộ của bạn.
Hỏi: Khi nào Amazon Linux 2 sẽ bị ngừng hỗ trợ?
Ngày ngừng hỗ trợ của Amazon Linux 2 (Kết thúc vòng đời, hay EOL) đã được gia hạn thêm hai năm từ ngày 30 tháng 06 năm 2023 đến ngày 30 tháng 06 năm 2025 để khách hàng có nhiều thời gian di chuyển sang phiên bản tiếp theo.
Hỏi: Amazon Linux 2 và Amazon Linux 2023 có sự khác biệt gì?
Vui lòng tham khảo tài liệu để tìm hiểu thêm về sự khác biệt chính giữa các bản phân phối này.
Hỏi: Việc sử dụng Amazon Linux 2 có những lợi ích gì?
Tương tự như Amazon Linux AMI, Amazon Linux 2 hỗ trợ các tính năng phiên bản Đám mây điện toán linh hoạt của Amazon (Amazon EC2) mới nhất và bao gồm các gói cho phép tích hợp dễ dàng với AWS. Hệ điều hành này được tối ưu hóa để sử dụng trong Amazon EC2 với phiên bản nhân Linux mới nhất và đã được điều chỉnh. Nhờ đó, nhiều khối lượng công việc của khách hàng hoạt động tốt hơn trên Amazon Linux 2. Ưu đãi của Amazon Linux 2 sẽ được hỗ trợ cho đến ngày 30 tháng 6 năm 2025 với các bản cập nhật bảo mật và bảo trì. Amazon Linux 2 có thể được truy cập dưới dạng hình ảnh máy ảo tại chỗ cho phép phát triển và kiểm thử cục bộ.
Hỏi: Khối lượng công việc hoặc trường hợp sử dụng nào được hỗ trợ với Amazon Linux 2?
Amazon Linux 2 phù hợp với nhiều khối lượng công việc khác nhau được ảo hóa và gói trong bộ chứa như cơ sở dữ liệu, phân tích dữ liệu, ứng dụng chuyên ngành, ứng dụng web và máy tính để bàn, v.v. trong bối cảnh sản xuất. Bạn cũng có thể sử dụng hệ điều hành này trên phiên bản EC2 Bare Metal dưới dạng cả hệ điều hành bare metal và máy chủ ảo hóa.
Hỏi: Amazon Linux 2 có các thành phần cốt lõi nào?
Các thành phần cốt lõi của Amazon Linux 2 là:
- Một nhân Linux được điều chỉnh để đảm bảo hiệu suất trên Amazon EC2.
- Một tập hợp các gói lõi bao gồm systemd, GCC 7.3, Glibc 2.26, Binutils 2.29.1 nhận Hỗ trợ dài hạn (LTS) từ AWS.
- Một kênh bổ sung cho các công nghệ phát triển nhanh chóng có khả năng được cập nhật thường xuyên và nằm ngoài mô hình Hỗ trợ dài hạn (LTS).
Hỏi: Amazon Linux 2 và Amazon Linux AMI có khác biệt gì?
Sự khác biệt chính giữa Amazon Linux 2 và Amazon Linux AMI là:
- Amazon Linux 2 cung cấp hỗ trợ dài hạn cho đến ngày 30 tháng 6 năm 2025.
- Amazon Linux 2 khả dụng dưới dạng hình ảnh máy ảo để phát triển và kiểm thử tại chỗ.
- Amazon Linux 2 cung cấp dịch vụ systemd và trình quản lý hệ thống trái ngược với hệ thống System V init trong Amazon Linux AMI.
- Amazon Linux 2 đi kèm với nhân Linux, thư viện C, trình biên dịch và các công cụ được cập nhật.
- Amazon Linux 2 cung cấp khả năng cài đặt các gói phần mềm bổ sung thông qua cơ chế bổ sung.
Hỏi: Làm thế nào để bắt đầu sử dụng Amazon Linux 2 trên AWS?
AWS cung cấp Hình ảnh máy Amazon (AMI) cho Amazon Linux 2 mà bạn có thể sử dụng để khởi chạy phiên bản từ bảng điều khiển Amazon EC2, AWS SDK và CLI. Tham khảo tài liệu về Amazon Linux để biết thêm chi tiết.
Hỏi: Chạy Amazon Linux 2 trong Amazon EC2 có bị tính phí gì không?
Không, bạn không mất thêm phí khi chạy Amazon Linux 2. Phí AWS và Amazon EC2 tiêu chuẩn áp dụng khi chạy các phiên bản Amazon EC2 và các dịch vụ khác.
Hỏi: Amazon Linux 2 hỗ trợ loại phiên bản Amazon EC2 nào?
Amazon Linux 2 hỗ trợ tất cả các loại phiên bản Amazon EC2 hỗ trợ AMI HVM. Amazon Linux 2 không hỗ trợ các phiên bản cũ hơn yêu cầu chức năng ảo hóa song song (PV).
Hỏi: Amazon Linux 2 có hỗ trợ các thư viện và ứng dụng 32 bit không?
Có, Amazon Linux 2 hỗ trợ các thư viện và ứng dụng 32 bit. Nếu bạn đang chạy trên phiên bản Amazon Linux 2 đã được ra mắt trước ngày 10 tháng 04 năm 2018, bạn có thể chạy “yum upgrade” để được hỗ trợ 32 bit đầy đủ.
Hỏi: Amazon Linux 2 có đi kèm với máy tính để bàn có Giao diện người dùng đồ họa (GUI) không?
Có, môi trường máy tính để bàn MATE được cung cấp dưới dạng bổ sung trong Amazon Linux 2. Amazon Workspaces cung cấp máy tính để bàn đám mây trên nền tảng Amazon Linux 2 đám mây có GUI. Bạn có thể tìm hiểu thêm tại đây.
Hỏi: Tôi có thể xem mã nguồn cho các thành phần Amazon Linux 2 không?
Có. Yumdownloader --công cụ nguồn trong Amazon Linux 2 cung cấp quyền truy cập vào mã nguồn cho nhiều thành phần.
Hỏi: Tại sao Python 2.7 vẫn là một phần của Amazon Linux 2?
Chúng tôi sẽ tiếp tục cung cấp các bản vá bảo mật quan trọng cho Python 2 theo cam kết LTS của chúng tôi cho các gói lõi Amazon Linux 2 (cho đến tháng 6 năm 2025) mặc dù cộng đồng Python thượng nguồn đã tuyên bố Kết thúc vòng đời cho Python 2.7 vào tháng 1 năm 2020.
Hỏi: Tôi có nên di chuyển mã của mình sang Python 3 và rời khỏi Python 2.7 không?
Chúng tôi thực sự khuyên khách hàng của chúng tôi cài đặt Python 3 trên hệ thống Amazon Linux 2 và di chuyển mã và ứng dụng của họ sang Python 3.
Hỏi: Amazon Linux 2 có ngừng sử dụng Python 2.7 không?
Không có kế hoạch nào cho việc thay đổi trình thông dịch Python mặc định. Chúng tôi có ý định giữ Python 2.7 làm mặc định trong suốt thời gian tồn tại của Amazon Linux 2. Chúng tôi sẽ áp dụng các bản sửa lỗi bảo mật ở cả các phiên bản cũ cho các gói Python 2.7 của chúng tôi khi cần thiết.
Hỏi: Tại sao Amazon Linux 2 không chuyển khỏi Python 2.7 cho trình quản lý gói 'yum' hoặc chuyển sang DNF dựa trên Python 3?
Trong quá trình phát hành LTS của Hệ điều hành, việc chúng tôi thực hiện các thay đổi ở cấp cơ sở, thay thế hoặc thêm một trình quản lý gói khác mang đến rủi ro rất cao. Do đó, khi lên kế hoạch di chuyển Python 3 cho Amazon Linux, chúng tôi đã quyết định thực hiện điều này qua ranh giới bản phát hành chính thay vì trong Amazon Linux 2. Đây là phương pháp được chia sẻ bởi các bản phân phối Linux dựa trên RPM khác, ngay cả những bản phân phối không có cam kết LTS.
Hỏi: Nhân 5.10 khác với nhân 4.14 như thế nào?
Nhân 5.10 mang đến một số tính năng và cải tiến hiệu năng – bao gồm tối ưu hóa cho bộ xử lý Intel Ice Lake và Graviton 2 hỗ trợ các phiên bản EC2 thế hệ mới nhất.
Từ quan điểm bảo mật, khách hàng được hưởng lợi từ WireGuard VPN giúp thiết lập mạng riêng ảo hiệu quả với khả năng tấn công bề mặt thấp và cho phép mã hóa với chi phí vận hành thấp hơn. Nhân 5.10 còn cung cấp tính năng khóa nhân để ngăn chặn việc sửa đổi trái phép hình ảnh nhân và một số cải tiến BPF, bao gồm CO-RE (Biên soạn một lần, chạy khắp mọi nơi).
Khách hàng có hoạt động đầu vào-đầu ra chuyên sâu sẽ được hưởng lợi từ hiệu suất ghi tốt hơn, chia sẻ vòng io_uring an toàn hơn giữa các quy trình để hoạt động đầu vào-đầu ra nhanh hơn và hỗ trợ hệ thống exFAT mới để tương thích tốt hơn với các thiết bị lưu trữ. Với việc bổ sung MultiPath TCP (MPTCP), khách hàng có một số giao diện mạng có thể kết hợp tất cả các đường dẫn mạng có sẵn để tăng thông lượng và giảm lỗi mạng.
Hỗ trợ lâu dài
Hỏi: Hỗ trợ dài hạn cho Amazon Linux 2 bao gồm những gì?
Hỗ trợ dài hạn cho Amazon Linux 2 chỉ áp dụng cho các gói lõi và bao gồm:
1) AWS sẽ cung cấp các bản cập nhật bảo mật và sửa lỗi cho tất cả các gói trong lõi cho đến ngày 30 tháng 6 năm 2025.
2) AWS sẽ duy trì khả năng tương thích Giao diện nhị phân ứng dụng (ABI) không gian người dùng cho các gói sau trong lõi:
elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs và zlib
3) AWS sẽ cung cấp khả năng tương thích Giao diện nhị phân ứng dụng (ABI) cho tất cả các gói khác trong lõi, trừ khi việc cung cấp khả năng tương thích đó không thể thực hiện được vì những lý do nằm ngoài tầm kiểm soát của AWS.
Hỏi: Amazon Linux 2 có duy trì khả năng tương thích ABI không gian nhân không?
Không, Amazon Linux 2 không duy trì khả năng tương thích ABI không gian nhân. Nếu có thay đổi trong nhân Linux thượng nguồn phá vỡ sự ổn định của ABI thì các ứng dụng dựa vào trình điều khiển nhân của bên thứ ba có thể sẽ cần điều chỉnh bổ sung.
Hỏi: AWS có áp dụng các bản sửa lỗi bảo mật ở cả các phiên bản cũ cho Amazon Linux 2 không?
Có. Amazon thường lấy các bản sửa lỗi từ phiên bản mới nhất của các gói phần mềm thượng nguồn và áp dụng vào phiên bản của gói trong Amazon Linux 2. Trong quá trình này, Amazon tách bản sửa lỗi khỏi bất kỳ thay đổi nào khác, đảm bảo rằng các bản sửa lỗi không gây ra các tác dụng phụ không mong muốn và sau đó áp dụng các bản sửa lỗi.
Hỏi: Các chính sách hỗ trợ dài hạn có áp dụng cho các chủ đề bổ sung không?
Nội dung của các chủ đề bổ sung được miễn khỏi chính sách Amazon Linux về hỗ trợ dài hạn và khả năng tương thích nhị phân. Các chủ đề bổ sung cung cấp quyền truy cập vào danh sách được tuyển chọn về các công nghệ phát triển nhanh chóng và có khả năng được cập nhật thường xuyên. Khi phiên bản mới của các gói trong các chủ đề bổ sung được phát hành, dịch vụ sẽ chỉ cung cấp hỗ trợ cho các gói mới nhất. Theo thời gian, các công nghệ này sẽ tiếp tục phát triển, ổn định và cuối cùng có thể được thêm vào kho lưu trữ “lõi” của Amazon Linux 2 mà các chính sách Hỗ trợ dài hạn của Amazon Linux 2 áp dụng.
Hỏi: Các bản dựng Amazon Linux 2 bổ sung sẽ được cung cấp sau khi bản dựng LTS được phát hành chứ?
Có. Các bản dựng mới sẽ trỏ đến cùng một kho lưu trữ và bao gồm tập hợp các bản cập nhật tính năng và bảo mật tích lũy để ngăn chặn sự cần thiết phải áp dụng các bản cập nhật đang chờ xử lý.
Hỏi: Tôi có thể nhận bản cập nhật cho Amazon Linux 2 ở đâu?
Các bản cập nhật cho Amazon Linux 2 được cung cấp với kho lưu trữ được cấu hình sẵn lưu trữ trong mỗi khu vực AWS. Khi ra mắt phiên bản mới, Amazon Linux cố gắng cài đặt bất kỳ bản cập nhật bảo mật không gian người dùng nào được đánh giá là quan trọng hoặc thiết yếu. Bạn cũng có thể bật hoặc tắt cài đặt tự động các bản vá bảo mật quan trọng và thiết yếu tại thời điểm khởi chạy phiên bản.
Hỏi: Làm thế nào để tự động hóa bản vá bảo mật trên Amazon Linux 2 trên quy mô lớn?
Trình quản lý bản vá của Trình quản lý hệ thống AWS hoạt động với Amazon Linux 2 để tự động hóa quá trình vá các phiên bản Amazon Linux 2 trên quy mô lớn. Trình quản lý bản vá có thể quét các bản vá bị thiếu hoặc quét và cài đặt các bản vá lỗi còn thiếu cho các nhóm phiên bản lớn. Trình quản lý bản vá của Trình quản lý hệ thống cũng có thể được sử dụng để cài đặt các bản vá cho các bản cập nhật ngoài mục đích bảo mật.
Hỏi: Amazon Linux 2 có những tùy chọn hỗ trợ cao cấp nào?
Gói đăng ký Hỗ trợ AWS có bao gồm hỗ trợ sử dụng Amazon Linux 2 trên Amazon Web Services (AWS).
Hỗ trợ AWS hiện không áp dụng bao gồm cho việc sử dụng Amazon Linux 2 tại chỗ. Diễn đàn Amazon Linux 2 và tài liệu về Amazon Linux 2 là nguồn hỗ trợ chính cho việc sử dụng Amazon Linux 2 tại chỗ. Bạn có thể đăng câu hỏi, báo cáo lỗi và yêu cầu tính năng trên các diễn đàn Amazon Linux 2.
Hỗ trợ cho Amazon Linux 2 LTS Candidate và Amazon Linux AMI
Hỏi: Tôi có thể thực hiện nâng cấp tuần tự từ Amazon Linux 2 LTS Candidate 2 lên phiên bản LTS của Amazon Linux 2 không?
Có, bạn có thể nâng cấp tuần tự từ Amazon Linux 2 LTS Candidate 2 lên Amazon Linux 2. Tuy nhiên, những thay đổi trong bản dựng LTS cuối cùng có thể gây ra sự cố cho ứng dụng của bạn. Chúng tôi khuyên bạn nên kiểm tra ứng dụng của mình trên bản cài đặt mới hoàn toàn của Amazon Linux 2 trước khi di chuyển.
Hỏi: AWS có hỗ trợ Amazon Linux AMI trong tương lai không?
Có. Để tạo điều kiện thuận lợi cho việc di chuyển sang Amazon Linux 2, AWS sẽ cung cấp các bản cập nhật bảo mật cho phiên bản mới nhất của Amazon Linux và hình ảnh bộ chứa cho đến ngày 31 tháng 12 năm 2020. Bạn cũng có thể sử dụng tất cả các kênh hỗ trợ hiện có của mình như Hỗ trợ AWS cao cấp và Diễn đàn thảo luận Amazon Linux để tiếp tục gửi yêu cầu hỗ trợ.
Hỏi: Amazon Linux 2 có tương thích ngược với phiên bản hiện có của Amazon Linux AMI không?
Do bao gồm các thành phần như systemd trong Amazon Linux 2, các ứng dụng của bạn chạy trên phiên bản Amazon Linux hiện tại có thể yêu cầu thay đổi bổ sung để chạy trên Amazon Linux 2.
Hỏi: Tôi có thể thực hiện nâng cấp tại chỗ từ phiên bản Amazon Linux AMI hiện có lên Amazon Linux 2 không?
Không, việc nâng cấp tại chỗ từ hình ảnh Amazon Linux hiện có lên Amazon Linux 2 không được hỗ trợ. Chúng tôi khuyên bạn nên kiểm tra ứng dụng của mình trên bản cài đặt mới hoàn toàn của Amazon Linux 2 trước khi di chuyển.
Hỏi: Tôi có thể thực hiện nâng cấp tuần tự trên các phiên bản chạy Amazon Linux AMI lên Amazon Linux 2 không?
Không, phiên bản chạy Amazon Linux của bạn sẽ không được nâng cấp lên Amazon Linux 2 với cơ chế nâng cấp tuần tự. Nhờ đó, các ứng dụng hiện có của bạn sẽ không bị gián đoạn. Tham khảo tài liệu Amazon Linux và công cụ di chuyển để biết thêm chi tiết.
Sử dụng tại chỗ
Hỏi: Amazon Linux 2 chạy trên nền tảng ảo hóa tại chỗ nào?
Hình ảnh máy ảo Amazon Linux 2 hiện có sẵn cho các nền tảng ảo hóa KVM, Microsoft Hyper-V, Oracle VM VirtualBox và VMware ESXi để sử dụng cho phát triển và kiểm thử. Chúng tôi đang tiến hành lấy chứng nhận cho các nền tảng ảo hóa này.
Hỏi: Làm thế nào để bắt đầu sử dụng hình ảnh máy ảo Amazon Linux 2 trong môi trường phát triển cục bộ của tôi?
Có sẵn một hình ảnh máy ảo cho mỗi phần mềm giám sát máy ảo được hỗ trợ để bạn tải xuống. Sau khi tải xuống hình ảnh, hãy làm theo tài liệu Amazon Linux để bắt đầu.
Hỏi: Chạy Amazon Linux 2 tại chỗ có bị tính phí gì không?
Không, bạn không mất thêm phí khi chạy Amazon Linux 2 tại chỗ.
Hỏi: Có cần tài khoản AWS để chạy Amazon Linux 2 tại chỗ không?
Không, bạn không cần tài khoản AWS để chạy Amazon Linux 2 tại chỗ.
Hỏi: Yêu cầu hệ thống tối thiểu để chạy Amazon Linux 2 là gì?
Tối thiểu, Amazon Linux 2 cần một máy ảo 64 bit với bộ nhớ 512 MB, 1 CPU ảo và BIOS giả lập.
Hỏi: Hình ảnh máy ảo tại chỗ của Amazon Linux 2 có nhận được các bản cập nhật bảo mật từ AWS không?
Có, AWS sẽ cung cấp các bản cập nhật bảo mật và sửa lỗi cho tất cả các gói trong lõi cho đến ngày 30 tháng 6 năm 2025. Ngoài ra, AWS sẽ duy trì khả năng tương thích Giao diện nhị phân ứng dụng (ABI) không gian người dùng cho các gói sau trong lõi.
Hỏi: Tôi có thể nhận được hỗ trợ trả phí cho hình ảnh máy ảo tại chỗ của Amazon Linux 2 từ bộ phận Hỗ trợ AWS không?
Không, tại thời điểm này, Hỗ trợ AWS không cung cấp hỗ trợ trả phí cho các máy ảo Amazon Linux 2 chạy tại chỗ. Hỗ trợ cộng đồng thông qua các diễn đàn Amazon Linux 2 là nguồn hỗ trợ chính để trả lời các câu hỏi và giải quyết các vấn đề bắt nguồn từ việc sử dụng tại chỗ. Tài liệu về Amazon Linux 2 cung cấp hướng dẫn để vận hành các máy ảo và bộ chứa Amazon Linux 2 của bạn, cấu hình HĐH và cài đặt ứng dụng.
Bảo mật Amazon Linux
Hỏi: Amazon Linux đánh giá CVE như thế nào?
Amazon Linux đánh giá các Lỗ hổng bảo mật và tiếp xúc thông thường (CVE) được phát hiện thông qua quy trình nội bộ, đánh giá rủi ro tiềm ẩn đối với sản phẩm và thực hiện các hành động như phát hành bản cập nhật bảo mật hoặc tư vấn. CVE được cấp điểm Hệ thống tính điểm lỗ hổng bảo mật thông thường (CVSS), đây là một phương pháp tiêu chuẩn để chấm điểm và xếp hạng mức độ nghiêm trọng của các lỗ hổng bảo mật. Nguồn chính cho dữ liệu CVE là Cơ sở dữ liệu lỗ hổng bảo mật quốc gia (NVD). Amazon Linux còn thu thập thông tin bảo mật từ các nguồn khác, chẳng hạn tư vấn từ nhà cung cấp và báo cáo từ khách hàng và nhà nghiên cứu.
Hỏi: Tại sao trình quét bảo mật báo cáo một CVE chưa được khắc phục trong gói Amazon Linux khi Tư vấn bảo mật Amazon Linux nói rằng CVE được sửa trong phiên bản đó?
Amazon Linux, giống như hầu hết các bản phân phối Linux, thường xuyên áp dụng các bản sửa lỗi bảo mật ở cả các phiên bản gói ổn định được cung cấp trong kho lưu trữ của mình. Khi các gói này được cập nhật có áp dụng ở cả các phiên bản cũ, bản tin bảo mật Amazon Linux cho vấn đề cụ thể sẽ liệt kê (các) phiên bản gói cụ thể mà được khắc phục sự cố cho Amazon Linux. Trình quét bảo mật dựa vào việc lập phiên bản từ các tác giả của dự án đôi khi sẽ không nhận ra rằng một bản sửa lỗi CVE cụ thể đã được áp dụng trong phiên bản cũ hơn. Khách hàng có thể tham khảo Trung tâm bảo mật Amazon Linux (ALAS) để biết các bản cập nhật liên quan đến các vấn đề bảo mật và bản sửa lỗi.
Hỏi: Amazon Linux thông báo mức độ nghiêm trọng của vấn đề bảo mật như thế nào?
Bảo mật Amazon Linux thông báo các lời khuyên bảo mật ảnh hưởng đến các sản phẩm của Amazon Linux trên Trung tâm bảo mật Amazon Linux (ALAS). Các lời khuyên bảo mật thường bao gồm ID tư vấn, mức độ nghiêm trọng của sự cố, ID CVE, tổng quan nội dung tư vấn, gói bị ảnh hưởng và sửa lỗi sự cố. CVE được tham chiếu trong lời khuyên sẽ có điểm CVSS (chúng tôi sử dụng điểm CVSSv3 nhưng CVE cũ hơn 2018 có thể có điểm CVSSv2) và véc-tơ cho các gói bị ảnh hưởng. Điểm số có giá trị thập phân từ 0-10, với điểm số càng cao biểu thị lỗ hổng bảo mật càng nghiêm trọng. Amazon Linux phù hợp với điểm số công cụ tính CVSSv3 khung mở để xác định chỉ số cơ sở. Xếp hạng là cách chúng tôi nói lên mức độ nghiêm trọng của các vấn đề bảo mật cho khách hàng. Khách hàng có thể kết hợp các xếp hạng này với các đặc điểm chính của môi trường của họ để đánh giá rủi ro phù hợp hơn.
Hỏi: Làm thế nào khách hàng có thể nhận được lời khuyên bảo mật mới nhất từ Amazon Linux?
Amazon Linux cung cấp các lời khuyên bảo mật dành cho người và máy móc, trong đó khách hàng có thể đăng ký nguồn cấp dữ liệu RSS của chúng tôi hoặc cấu hình các công cụ quét để phân tích HTML. Nguồn cấp dữ liệu cho các sản phẩm của chúng tôi có thể được tìm thấy ở đây:
Amazon Linux 1 / Amazon Linux 1 RSS
Amazon Linux 2 / Amazon Linux 2 RSS
Amazon Linux 2023/Amazon Linux 2023 RSS
CÂU HỎI THƯỜNG GẶP VỀ AL2 FIPS
Câu hỏi: FIPS 140-2 là gì?
Tiêu chuẩn xử lý thông tin liên bang (FIPS) 140-2 chỉ định các yêu cầu bảo mật cho các mô-đun mật mã bảo vệ thông tin nhạy cảm. Tháng 9 năm 2020, Chương trình xác thực mô-đun mật mã (CMVP) chuyển sang FIPS 140-3 và không còn chấp nhận các đệ trình FIPS 140-2 cho chứng chỉ xác thực mới.
Các mô-đun được xác nhận là tuân thủ FIPS 140-2 sẽ tiếp tục được các cơ quan Liên bang của cả hai quốc gia chấp nhận để bảo vệ thông tin nhạy cảm (Hoa Kỳ) hoặc Thông tin được chỉ định (Canada) cho đến ngày 21 tháng 9 năm 2026. Sau thời gian đó, CMVP sẽ đặt tất cả mô-đun đã được xác thực FIPS 140-2 vào danh sách cũ.
Câu hỏi: Làm cách nào để bật FIPS trên Amazon Linux 2?
Hướng dẫn bật chế độ FIPS có tại phần Bật chế độ FIPS.
Câu hỏi: Amazon Linux 2 FIPS có được xác thực không?
Các mô-đun mật mã Amazon Linux 2 (OpenSSL, Libgcrypt, NSS, GnuTLS, mô-đun Kernel) được xác thực theo FIPS 140-2. Để biết thêm chi tiết, vui lòng truy cập trang web CMVP.
Câu hỏi: Trạng thái AL2 FIPS là gì?
Tên mô-đun mật mã | Các gói liên quan | Trạng thái | Số chứng nhận | Ngày hết hạn chứng nhận |
OpenSSL | openssl1.0.2k | Hoạt động | 4548 | 22/10/2024 |
Libgcrypt | libgcrypt-1.5 | Hoạt động | 3618 | 18/02/2025 |
NSS | nss-softokn-3.36/nss-softokn-freebl-3.36. |
Hoạt động | 4565 | 19/04/2025 |
GnuTLS | gnutls-3.3 | Hoạt động | 4472 | 19/04/2025 |
Kernel Crypto API | kernel-4.14 | Hoạt động | 4593 | 13/09/2025 |
Câu hỏi: Làm cách nào để tuân thủ FIPS trên AL2 sau tháng 10 năm 2024?
Chứng chỉ AL2 FIPS sẽ ngừng hoạt động dần dần bắt đầu từ tháng 10 năm 2024. Có khả năng các mô-đun được xác thực AL2 FIPS sẽ ở trạng thái cũ trước khi các mô-đun mật mã AL2023 hoàn thành xác nhận FIPS. AWS đề xuất chuyển sang AL2023 hoặc tham khảo ý kiến của nhóm tuân thủ của bạn về việc sử dụng các mô-đun đã được xác thực AL2 FIPS ở trạng thái cũ.
Câu hỏi: Amazon Linux 2 được kiểm thử trên môi trường hoạt động nào?
AL2 OpenSSL, NSS, Libgcyprt, Kernel và GnuTLS là các mô hình được xác thực theo FIPS 140-2 trên Intel và Graviton. Để biết thêm chi tiết, vui lòng tham khảo trang web CMVP.
Phần bổ sung của Amazon Linux
Hỏi: Phần bổ sung của Amazon Linux là gì?
Phần bổ sung là một cơ chế trong Amazon Linux 2 để cho phép tiêu thụ các phiên bản mới của phần mềm ứng dụng trên một hệ điều hành ổn định được hỗ trợ cho đến ngày 30 tháng 6 năm 2025. Phần bổ sung giúp bạn giảm bớt việc phải đánh đổi giữa sự ổn định của hệ điều hành và độ mới của phần mềm khả dụng. Ví dụ: bây giờ bạn có thể cài đặt các phiên bản MariaDB mới hơn trên một hệ điều hành ổn định được hỗ trợ trong năm năm. Ví dụ về các phần bổ sung bao gồm Ansible 2.4.2, memcached 1.5, nginx 1.12, Postgresql 9.6, MariaDB 10.2, Go 1.9, Redis 4.0, R 3.4, Rust 1.22.1.
Hỏi: Các phần bổ sung của Amazon Linux hoạt động như thế nào?
Các phần bổ sung cung cấp các chủ đề để chọn gói phần mềm. Mỗi chủ đề chứa tất cả các phần phụ thuộc cần thiết để phần mềm cài đặt và hoạt động trên Amazon Linux 2. Ví dụ: Rust là một chủ đề bổ sung trong danh sách chọn lọc do Amazon cung cấp. Chủ đề này cung cấp chuỗi công cụ và thời gian hoạt động cho Rust, một loại ngôn ngữ lập trình hệ thống. Chủ đề này bao gồm hệ thống xây dựng cmake cho Rust, cargo – trình quản lý gói rust và chuỗi công cụ biên dịch dựa trên LLVM cho Rust. Các gói liên quan đến mỗi chủ đề được sử dụng với quy trình cài đặt yum nổi tiếng.
Hỏi: Làm thế nào để cài đặt gói phần mềm từ kho lưu trữ phần bổ sung của Amazon Linux?
Các gói có sẵn có thể được liệt kê bằng lệnh amazon-linux-extras trong shell Amazon Linux 2. Bạn có thể cài đặt các gói từ phần bổ sung bằng lệnh “sudo amazon-linux-extras install ”.
Ví dụ: $ sudo amazon-linux-extras install rust1
Xem tài liệu về Amazon Linux để biết thêm chi tiết về cách bắt đầu sử dụng Phần bổ sung của Amazon Linux.
Hỏi: Liệu các gói trong phần bổ sung có được chuyển sang “lõi” với Hỗ trợ dài hạn không?
Theo thời gian, công nghệ phát triển nhanh chóng trong các phần bổ sung sẽ tiếp tục phát triển, ổn định và có thể được thêm vào “lõi” Amazon Linux 2 mà các chính sách Hỗ trợ dài hạn áp dụng.
Hỗ trợ ISV
Hỏi: Những ứng dụng của bên thứ ba nào được hỗ trợ để chạy trên Amazon Linux 2?
Amazon Linux 2 có một cộng đồng các nhà cung cấp phần mềm độc lập (ISV) đang phát triển nhanh chóng bao gồm Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX, v.v.
Danh sách toàn bộ các ứng dụng ISV được hỗ trợ hiện có trên trang Amazon Linux 2
Để ứng dụng của bạn được chứng nhận với Amazon Linux 2, hãy liên hệ với chúng tôi.
Vá nhân trực tiếp
Hỏi: Vá nhân trực tiếp trong Amazon Linux 2 là gì?
Vá nhân trực tiếp trong Amazon Linux 2 là một tính năng cho phép áp dụng bảo mật và sửa lỗi cho Nhân Linux đang chạy mà không cần phải khởi động lại. Các bản vá trực tiếp cho Nhân Amazon Linux được gửi đến kho gói hiện có cho Amazon Linux 2 và có thể được áp dụng bằng các lệnh yum thông thường như 'yum update —security’ khi tính năng đã được kích hoạt.
Hỏi: Các trường hợp sử dụng cho Vá nhân trực tiếp trong Amazon Linux 2 là gì?
Các trường hợp sử dụng mà Vá nhân trực tiếp nhắm đến trong Amazon Linux 2 bao gồm:
- Vá lỗi khẩn cấp để giải quyết các lỗ hổng bảo mật có mức độ nghiêm trọng cao và lỗi hỏng dữ liệu mà không khiến dịch vụ ngừng hoạt động.
- Áp dụng các bản cập nhật hệ điều hành mà không cần đợi các tác vụ chạy lâu hoàn thành, người dùng đăng xuất hoặc các khoảng thời gian khởi động lại theo lịch để áp dụng các bản cập nhật bảo mật.
- Đẩy nhanh việc triển khai các bản vá bảo mật bằng cách loại bỏ các lần khởi động lại tuần tự được yêu cầu trong các hệ thống có mức độ sẵn sàng cao
Hỏi: Khi nào AWS cung cấp các bản vá nhân trực tiếp?
AWS thường sẽ cung cấp các bản vá nhân trực tiếp để khắc phục các CVE, được AWS đánh giá là quan trọng và thiết yếu, đối với Nhân Amazon Linux 2 mặc định. Xếp hạng của Tư vấn bảo mật Amazon Linux là quan trọng và thiết yếu thường tương ứng với điểm số của hệ thống tính điểm lỗ hổng bảo mật thông thường (CVSS) từ 7 trở lên. Ngoài ra, AWS cũng sẽ cung cấp các bản vá nhân trực tiếp cho các bản sửa lỗi được chọn để giải quyết các vấn đề về ổn định hệ thống và các vấn đề hư hỏng dữ liệu tiềm ẩn. Có thể có một số ít các vấn đề không nhận được các bản vá nhân trực tiếp mặc cho mức độ nghiêm trọng của chúng vì những hạn chế về mặt kỹ thuật. Ví dụ: các bản sửa lỗi thay đổi mã hợp ngữ hoặc chỉnh sửa ký hiệu chức năng có thể không nhận được các bản vá nhân trực tiếp. Nhân trong Phần bổ sung Amazon Linux 2 và bất kỳ phần mềm bên thứ ba nào không được AWS xây dựng và phục vụ sẽ không nhận được bản vá nhân trực tiếp.
Hỏi: Có bất kỳ khoản phí nào kèm theo khi sử dụng Vá nhân trực tiếp trong Amazon Linux 2 không?
Chúng tôi cung cấp miễn phí các bản vá nhân trực tiếp cho Amazon Linux 2.
Hỏi: Làm thế nào để sử dụng Vá nhân trực tiếp trong Amazon Linux 2?
Các bản vá nhân trực tiếp được Amazon cung cấp và có thể được sử dụng với trình quản lý gói yum và các tiện ích trong Amazon Linux 2 và Trình quản lý bản vá của Trình quản lý hệ thống AWS. Mỗi bản vá nhân trực tiếp được cung cấp dưới dạng gói RPM. Vá nhân trực tiếp hiện bị tắt theo mặc định trong Amazon Linux 2. Bạn có thể sử dụng plugin yum có sẵn để bật và tắt Vá nhân trực tiếp. Sau đó, bạn có thể sử dụng các quy trình công việc hiện có trong tiện ích yum để áp dụng các bản vá bảo mật bao gồm các bản vá nhân trực tiếp. Ngoài ra, tiện ích dòng lệnh kpatch có thể được sử dụng để liệt kê, áp dụng và bật/tắt tính năng vá nhân trực tiếp.
- ‘sudo yum install -y yum-plugin-kernel-livepatch’ cài đặt plugin yum để có khả năng vá nhân trực tiếp trên Amazon Linux.
- ‘sudo yum kernel-livepatch enable -y’ bật plugin.
- ‘sudo systemctl enable kpatch.service’ bật dịch vụ kpatch, cơ sở hạ tầng vá nhân trực tiếp được sử dụng trong Amazon Linux.
- ‘sudo amazon-linux-extras enable livepatch’ thêm các điểm cuối của kho lưu trữ bản vá nhân trực tiếp.
- ‘yum check-update kernel’ hiển thị danh sách các nhân có sẵn để cập nhật.
- ‘yum updateinfo list’ liệt kê các bản cập nhật bảo mật hiện có.
- 'sudo yum update --security' cài đặt các bản vá có sẵn bao gồm các bản vá nhân trực tiếp có sẵn dưới dạng bản sửa lỗi bảo mật.
- 'kpatch list' để liệt kê tất cả các bản vá nhân trực tiếp đã tải.
Hỏi: Trình quản lý bản vá của Trình quản lý hệ thống AWS có hỗ trợ vá lỗi trực tiếp không?
Có. Bạn có thể sử dụng Trình quản lý bản vá SSM của AWS để tự động áp dụng các bản vá nhân trực tiếp mà không cần khởi động lại ngay lập tức khi bản vá có sẵn dưới dạng bản vá trực tiếp. Truy cập tài liệu Trình quản lý bản vá SSM để bắt đầu.
Hỏi: Tôi có thể tìm thông tin chi tiết về các bản vá bảo mật được cung cấp qua Vá nhân trực tiếp ở đâu?
AWS công bố chi tiết về các bản vá nhân trực tiếp để khắc phục các lỗ hổng bảo mật trên Trung tâm bảo mật Amazon Linux.
Hỏi: Có bất kỳ hạn chế nào đối với việc sử dụng Vá nhân trực tiếp không?
Trong khi áp dụng bản vá nhân trực tiếp trong Amazon Linux 2, bạn không thể đồng thời thực hiện chế độ ngủ đông hoặc sử dụng các công cụ gỡ lỗi nâng cao như SystemTap, kprobes, các công cụ dựa trên eBPF và truy cập các tệp đầu ra ftrace đang được cơ sở hạ tầng vá nhân trực tiếp sử dụng.
Hỏi: Làm thế nào để khắc phục sự cố có thể xảy ra trong khi áp dụng các bản vá nhân trực tiếp cho Amazon Linux 2?
Nếu bạn gặp sự cố với bản vá nhân trực tiếp, hãy vô hiệu hóa bản vá và thông báo cho bộ phận Hỗ trợ AWS hoặc Amazon Linux Engineering thông qua bài đăng trên Diễn đàn AWS.
Hỏi: Vá nhân trực tiếp trong Amazon Linux 2 có loại bỏ hoàn toàn nhu cầu khởi động lại để áp dụng các bản vá bảo mật không?
Vá nhân trực tiếp trong Amazon Linux 2 không loại bỏ hoàn toàn nhu cầu khởi động lại hệ điều hành nhưng nó giúp giảm nỗi lo đáng kể về việc khởi động lại để khắc phục các vấn đề bảo mật quan trọng và thiết yếu ngoài các khoảng thời gian bảo trì theo kế hoạch. Mỗi nhân Linux trong Amazon Linux 2 sẽ nhận được các bản vá trực tiếp trong tối đa 3 tháng sau khi phát hành Nhân Linux Amazon. Sau mỗi thời hạn 3 tháng, hệ điều hành cần được khởi động lại vào Nhân Amazon Linux mới nhất để tiếp tục nhận các bản vá nhân trực tiếp.
Hỏi: Các phiên bản EC2 và môi trường tại chỗ nào được hỗ trợ Vá nhân trực tiếp với Amazon Linux 2?
Vá nhân trực tiếp trong Amazon Linux 2 được hỗ trợ trên tất cả các nền tảng x86_64 (AMD/Intel 64 bit) mà Amazon Linux 2 được hỗ trợ. Điều này bao gồm tất cả các phiên bản HVM EC2, VMware Cloud trên AWS, VMware ESXi, VirtualBox, KVM, Hyper-V và KVM. Các nền tảng dựa trên ARM hiện không được hỗ trợ.
Hỏi: Liệu AWS có tiếp tục cung cấp các bản vá lỗi thông thường (“không trực tiếp”) cho các bản cập nhật hệ điều hành đi kèm với các bản vá nhân trực tiếp không?
Có, AWS sẽ tiếp tục cung cấp các bản vá thông thường cho tất cả các bản cập nhật hệ điều hành. Theo nguyên tắc chung, cả bản vá thông thường và vá nhân trực tiếp sẽ được cung cấp cùng một lúc.
Hỏi: Điều gì xảy ra nếu khởi động lại được thực hiện trên các hệ thống Amazon Linux 2 đã được vá nhân trực tiếp?
Theo mặc định, khi thực hiện khởi động lại, các bản vá nhân trực tiếp được thay thế bằng các bản vá tương đương “không trực tiếp” thông thường. Bạn cũng có thể thực hiện khởi động lại mà không cần thay thế các bản vá nhân trực tiếp bằng các bản vá thông thường. Xem tài liệu về Vá nhân trực tiếp Amazon Linux 2 để biết chi tiết.
Hỏi: Vá nhân trực tiếp có ảnh hưởng đến khả năng tương thích ABI của Amazon Linux 2 không?
Vá nhân trực tiếp trong Amazon Linux 2 không thay đổi khả năng tương thích nhân ABI của Amazon Linux 2.
Hỏi: Làm thế nào để tôi có thể nhận được hỗ trợ cao cấp cho các sự cố có thể gặp phải khi áp dụng các bản vá nhân trực tiếp?
Các gói Kinh doanh và Doanh nghiệp dành cho Hỗ trợ AWS bao gồm hỗ trợ cao cấp cho tất cả các khả năng của Amazon Linux bao gồm Vá nhân trực tiếp. AWS chỉ hỗ trợ các bản vá nhân trực tiếp do AWS cung cấp và khuyên bạn nên liên hệ với nhà cung cấp của bạn để biết các vấn đề với các giải pháp vá nhân trực tiếp của bên thứ ba. AWS cũng khuyến nghị bạn chỉ sử dụng một giải pháp vá nhân trực tiếp trên Amazon Linux 2.
Hỏi: Các bản vá nhân trực tiếp sẽ được chỉ định như thế nào trong Trung tâm bảo mật Amazon Linux?
Một hàng riêng trong danh sách Trung tâm bảo mật Amazon Linux sẽ xuất hiện cho mỗi bản vá nhân trực tiếp. Mục nhập sẽ có thông tin nhận dạng như “ALASLIVEPATCH-<dấu-thời-gian>", và tên gói sẽ xuất hiện dưới dạng "kernel-livepatch-<phiên-bản-kernel>".
Hỏi: Nhân Amazon Linux nhận được các bản vá trực tiếp trong bao lâu?
Một phiên bản nhân sẽ nhận được các bản vá trực tiếp trong khoảng 3 tháng. Amazon Linux sẽ cung cấp các bản vá nhân trực tiếp cho 6 nhân cuối cùng được phát hành. Xin lưu ý rằng Vá nhân trực tiếp sẽ chỉ được hỗ trợ trên nhân mặc định được phát hành trong Amazon Linux 2. Nhân thế hệ tiếp theo trong Phần bổ sung sẽ không nhận được các bản vá nhân trực tiếp.
Để tìm hiểu xem Nhân Linux hiện tại có tiếp tục nhận các bản vá trực tiếp hay không và thời điểm khoảng thời gian hỗ trợ đó kết thúc, hãy sử dụng lệnh yum sau:
‘yum kernel-livepatch supported’
Hỏi: Các quy trình làm việc yum được hỗ trợ cho Vá nhân trực tiếp là gì?
Plugin yum vá nhân trực tiếp hỗ trợ tất cả các quy trình làm việc thường được hỗ trợ trong tiện ích quản lý gói yum. Ví dụ như ‘yum update’, ‘yum update kernel’, ‘yum update —security’, ‘yum update all’.
Hỏi: Các bản vá nhân trực tiếp có được ký xác thực không?
Các RPM bản vá nhân trực tiếp được ký thông qua các khóa GPG. Tuy nhiên, các mô-đun nhân hiện không được ký xác thực.
Bắt đầu xây dựng với Amazon Linux 2 trong Bảng điều khiển quản lý AWS.