FAQ HAQM Linux 2

Q. Qu'est-ce qu'HAQM Linux 2 ?

HAQM Linux 2 est un système d'exploitation HAQM Linux qui fournit un environnement d'applications moderne intégrant les dernières améliorations proposées par la communauté Linux ainsi qu'une prise en charge longue durée. Outre les formats HAQM Machine Images (AMI) et image de conteneur, HAQM Linux 2 est disponible sous forme d'image de machine virtuelle pour le développement et les tests sur site, ce qui vous permet de développer, tester et certifier facilement vos applications directement depuis votre environnement de développement local.

Q. Quelle est la date de fin du support d’HAQM Linux 2 ?

La date de fin du support d’HAQM Linux 2 (Fin de vie, ou EOL) est fixée au 30/06/2026.

Q. Quelles sont les différences entre HAQM Linux 2 et HAQM Linux 2023 ?

Veuillez consulter la documentation pour en savoir plus sur les principales différences entre ces distributions.

Q. Quels avantages y a-t-il à utiliser HAQM Linux 2 ?

À l’instar de l’AMI HAQM Linux, HAQM Linux 2 prend en charge les dernières fonctionnalités d’instance HAQM Elastic Compute Cloud (HAQM EC2) et inclut des packages qui permettent une intégration aisée avec AWS. HAQM Linux 2 est optimisé pour être utilisé dans HAQM EC2 avec la version du noyau Linux la plus récente et la plus ajustée. Par conséquent, de nombreuses charges de travail client sont plus performantes sur HAQM Linux 2. HAQM Linux 2 est disponible sous forme d’images de machine virtuelle sur site, ce qui permet un développement et des tests locaux.

Q. Quels sont les charges de travail ou les cas d'utilisation pris en charge par HAQM Linux 2 ?

HAQM Linux 2 convient à une grande variété de charges de travail virtualisées et conteneurisées, telles que les bases de données, les analyses de données, les applications de secteur d’activité, les applications Web et de bureau, etc. et bien plus encore dans des contextes de production. Il peut également être utilisé sur les instances Bare Metal EC2 à la fois en tant que système d'exploitation en matériel nu et en tant qu’hôte de virtualisation.

Q. Quels sont les composants de base d'HAQM Linux 2 ?

Les composants de base d'HAQM Linux 2 sont les suivants :

1. Un noyau Linux optimisé pour améliorer les performances sur HAQM EC2.
2. Un ensemble de packages de base, dont systemd, GCC 7.3, Glibc 2.26, Binutils 2.29.1, qui bénéficient d'une prise en charge à long terme (LTS) de la part d'AWS.
3. Un canal supplémentaire pour les technologies en évolution rapide qui sont susceptibles d'être mises à jour fréquemment et en dehors du modèle prise en charge à long terme (LTS).

Q. En quoi HAQM Linux 2 diffère-t-il de l'AMI HAQM Linux ?
Les principales différences entre HAQM Linux 2 et HAQM Linux AMI sont les suivantes :

1. HAQM Linux 2 est disponible sous forme d’images de machine virtuelle pour le développement et les tests sur site.
2. HAQM Linux 2 fournit le service systemd et le gestionnaire de systèmes contrairement au système d'initialisation System V dans HAQM Linux AMI.
3. HAQM Linux 2 est fourni avec un noyau Linux mis à jour, une bibliothèque C, un compilateur et des outils.
4. HAQM Linux 2 permet d'installer des packages logiciels supplémentaires via le mécanisme des extras.

Q. Comment puis-je commencer à utiliser HAQM Linux 2 sur AWS ?

AWS fournit une HAQM Machine Image (AMI) pour HAQM Linux 2 que vous pouvez utiliser pour lancer une instance à partir de la console HAQM EC2, du kit SDK AWS et de l'AWS CLI. Veuillez consulter la documentation d'HAQM Linux pour plus de détails.

Q. Y a-t-il des coûts associés à l'exécution d'HAQM Linux 2 dans HAQM EC2 ?

Non, il n'y a pas de frais supplémentaires pour l'exécution d'HAQM Linux 2. Les frais standard d'HAQM EC2 et d'AWS s'appliquent pour l'exécution des instances HAQM EC2 et des autres services.

Q. Quels types d'instances HAQM EC2 HAQM Linux 2 prend-il en charge ?

HAQM Linux 2 prend en charge tous les types d'instances HAQM EC2 qui prennent en charge les AMI HVM. HAQM Linux 2 ne prend pas en charge les anciennes instances qui nécessitent une fonction de paravirtualisation (PV).

Q. HAQM Linux 2 prend-il en charge les applications et bibliothèques 32 bits ?

Oui, HAQM Linux 2 prend en charge les applications et bibliothèques 32 bits. Si vous utilisez une version d'HAQM Linux 2 lancée avant le 04/10/2018, vous pouvez exécuter « yum upgrade » pour bénéficier de la prise en charge 32 bits complète.  

Q. HAQM Linux 2 est-il fourni avec une interface utilisateur graphique (GUI) de bureau ?
Oui, l'environnement de bureau MATE est fourni en supplément dans HAQM Linux 2. HAQM WorkSpaces fournit des bureaux cloud basés sur HAQM Linux 2 cloud dotés d'une interface graphique (GUI). Vous pouvez en savoir plus en cliquant ici.

Q. Puis-je consulter le code source des composants HAQM Linux 2 ?

Oui. L'outil yumdownloader --source d'HAQM Linux 2 permet d'accéder au code source de nombreux composants.

Q. Pourquoi Python 2.7 fait-il toujours partie d’HAQM Linux 2 ?

Nous continuerons à fournir des correctifs critiques de sécurité pour Python 2 conformément à notre engagement LTS pour les packages de base d’HAQM Linux 2, même si la communauté Python en amont a annoncé la fin de vie de Python 2.7 en janvier 2020.

Q. Dois-je migrer mon code vers Python 3 et quitter Python 2.7 ?

Nous recommandons vivement à nos clients d'installer Python 3 sur leurs systèmes HAQM Linux 2 et de migrer leur code et leurs applications vers Python 3.

Q. HAQM Linux 2 est-il en train renoncer à Python 2.7 ?

Il n'est pas prévu de modifier l'interpréteur Python par défaut. Nous avons l'intention de retenir Python 2.7 par défaut pendant toute la durée de vie d'HAQM Linux 2. Nous allons rétroporter les correctifs de sécurité vers nos packages Python 2.7 selon les besoins.

Q. Pourquoi HAQM Linux 2 n'abandonne-t-il pas Python 2.7 pour le gestionnaire de packages « yum » ? Pourquoi ne passe-t-il pas à DNF, qui est basé sur Python 3 ?

Lors d'une version LTS du système d'exploitation, le risque d'apporter des modifications fondamentales, de remplacer ou d'ajouter un autre gestionnaire de packages est extrêmement élevé. Ainsi, lors de la planification de notre migration vers Python 3 pour HAQM Linux, nous avons pris la décision d'effectuer cette migration à travers la limite entre d’une version majeure plutôt qu’à l'intérieur d'HAQM Linux 2. Il s'agit d'une approche partagée par d'autres distributions Linux basées sur RPM, y compris celles qui ne font pas l’objet d'engagement LTS.

Q. En quoi le noyau 5.10 diffère-t-il du noyau 4.14 ?

Le noyau 5.10 apporte un certain nombre de fonctionnalité et d'améliorations des performances, dont des optimisations pour les processeurs Intel Ice Lake Graviton 2 qui alimentent la toute dernière génération d'instances EC2. 

D’un point de vue sécurité, les clients bénéficient du VPN WireGuard qui permet de configurer un réseau privé virtuel efficace avec une faible surface d'attaque et qui permet le chiffrement avec frais moins élevés. Kernel 5.10 apporte aussi des fonctionnalités de verrouillage du noyau pour empêcher la modification non autorisée de l'image du noyau. Il apporte de même un certain nombre d'améliorations BPF, y compris le CO-RE (Compile Once - Run Everywhere).

Les clients dont les opérations intensives d'entrée-sortie bénéficieront de meilleures performances d'écriture, d'un partage plus sûr des anneaux io_uring entre les processus pour accélérer les opérations d'entrée-sortie et de la prise en charge du nouveau système exFAT pour une meilleure compatibilité avec les périphériques de stockage. Grâce à l'ajout du protocole MultiPath TCP (MPTCP), les clients disposant de plusieurs interfaces réseau peuvent combiner tous les chemins réseau disponibles pour augmenter le débit et réduire les défaillances réseau.

Q. Qu'est-ce qui est inclus dans la prise à long terme pour HAQM Linux 2 ?

La prise en charge à long terme pour HAQM Linux 2 s’applique uniquement aux packages de base et inclut :
1) AWS fournira des mises à jour de sécurité et des correctifs de bugs pour tous les packages de base.
2) AWS assurera la compatibilité de l’interface binaire d’application (ABI) utilisateur-espace pour les packages de base suivants :

elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs et zlib

3) AWS fournira la compatibilité de l'interface binaire d'application (ABI) pour tous les autres packages de base, sauf si cette compatibilité n'est pas possible pour des raisons indépendantes de la volonté d'AWS.

Q : Est-ce qu'HAQM Linux 2 assure la compatibilité de l'ABI noyau-espace ?
Non, HAQM Linux 2 n’assure pas la compatibilité ABI noyau-espace . En cas de modification du noyau Linux en amont qui perturbe la stabilité de l'ABI, les applications qui s'appuient sur des pilotes de noyau tiers pourraient nécessiter des modifications supplémentaires.

Est-ce qu'AWS rétroporte les correctifs de sécurité pour HAQM Linux 2 ?
Oui. HAQM récupère régulièrement les correctifs de la version la plus récente des packages logiciels en amont et les applique à la version du package dans HAQM Linux 2. Au cours de ce processus, HAQM isole le correctif de toute autre modification, veille à ce que les correctifs n'introduisent pas d'effets secondaires indésirables, puis applique les correctifs.

Q. Les politiques de support à long terme s'appliquent-elles aux sujets supplémentaires ?
Le contenu des rubriques supplémentaires est exempté de la politique d'HAQM Linux relative à prise en charge à long terme et à la compatibilité binaire. Les rubriques supplémentaires donnent accès à une liste organisée de technologies qui évoluent rapidement et sont susceptibles d'être fréquemment mises à jour. Lorsque de nouvelles versions de packages dans les rubriques supplémentaires sont publiées, la prise en charge ne sera fournie que pour les packages les plus récents. Au fil du temps, ces technologies continueront de se perfectionner et de se stabiliser. Elles pourront éventuellement être ajoutées aux référentiels « de base » d'HAQM Linux 2 auxquels s'appliquent les politiques de prise en charge à long terme d'HAQM Linux 2.

Q. Des versions supplémentaires d'HAQM Linux 2 seront-elles fournies après la publication des versions LTS ?
Oui. Les nouvelles versions redirigeront vers les mêmes référentiels et incluront l'ensemble des mises à jour de sécurité et de fonctionnalités afin d'éviter d'avoir à appliquer les mises à jour en attente.

Q. Où puis-je obtenir les mises à jour pour HAQM Linux 2 ?
Les mises à jour pour HAQM Linux 2 sont fournies avec un référentiel préconfiguré hébergé dans chaque région AWS. Lors du lancement initial d'une nouvelle instance, HAQM Linux tente d'installer toutes les mises à jour de sécurité de l'espace utilisateur considérées comme critiques ou importantes. Vous pouvez également activer ou désactiver l'installation automatique de correctifs de sécurité critiques et importants au moment du lancement de l'instance.

Q. Comment puis-je automatiser l'application de correctifs de sécurité sur HAQM Linux 2 à l’échelle ?

Le Gestionnaire de correctifs d'AWS Systems Manager fonctionne avec HAQM Linux 2 pour automatiser le processus d'application de correctifs aux instances HAQM Linux 2 à l’échelle. Le gestionnaire de correctifs peut rechercher les correctifs manquants ou analyser et installer les correctifs manquants sur de grands groupes d'instances. Le gestionnaire de correctif de Systems Manager peut également être utilisé pour installer des correctifs pour des mises à jour qui ne sont pas liées à la sécurité.

Q. Quelles sont les options d’assistance premium disponibles pour HAQM Linux 2 ?
L’assistance concernant l'utilisation d'HAQM Linux 2 sur HAQM Web Services (AWS) est incluse dans les abonnements à AWS Support.

Pour le moment, AWS Support ne couvre pas l'utilisation sur site d'HAQM Linux 2. Le forum HAQM Linux 2 et la documentation HAQM Linux 2 sont les principales sources d'assistance pour l'utilisation sur site d'HAQM Linux 2. Vous pouvez poser des questions, signaler des bugs et demander des fonctionnalités sur les forums HAQM Linux 2.

Q. Puis-je effectuer une mise à niveau continue d'HAQM Linux 2 LTS Candidate 2 vers la version LTS d'HAQM Linux 2 ?
Oui, une mise à niveau continue d'HAQM Linux 2 LTS Candidate 2 vers HAQM Linux 2 est possible. Cependant, des modifications apportées à la version finale du LTS pourrait entraîner une panne de votre application. Nous vous recommandons de tester votre application sur une nouvelle installation d'HAQM Linux 2 avant de procéder à la migration.

Q. AWS Support prendra-t-il en charge l’AMI HAQM Linux par la suite ?

Oui. Pour faciliter la migration vers HAQM Linux 2, AWS fournira des mises à jour de sécurité pour la dernière version d'HAQM Linux et de l’image du conteneur jusqu'au 31 décembre 2020. Vous pouvez également utiliser tous vos canaux d'assistance existants tels queAWS Premium Support et le forum de discussion HAQM Linux pour continuer à soumettre des demandes d'assistance.

Q. HAQM Linux 2 est-il rétrocompatible avec la version existante de l’AMI HAQM Linux ?
En raison de l'inclusion de composants tels que systemd dans HAQM Linux 2, vos applications exécutées sur la version actuelle d'HAQM Linux peuvent nécessiter des modifications supplémentaires pour pouvoir fonctionner sur HAQM Linux 2.

Q. Puis-je effectuer une mise à niveau sur place d'une version existante de l’AMI HAQM Linux vers HAQM Linux 2 ?
Non, une mise à niveau sur place depuis l'image HAQM Linux existante vers HAQM Linux 2 n'est pas prise en charge. Nous vous recommandons de tester votre application sur une nouvelle installation d'HAQM Linux 2 avant de procéder à la migration.

Q. Puis-je effectuer une mise à niveau continue sur des instances exécutant l’AMI HAQM Linux vers HAQM Linux 2 ?
Non, vos instances exécutant HAQM Linux ne seront pas mises à niveau vers HAQM Linux 2 avec des mécanismes de mise à niveau continue. Par conséquent, vos applications existantes ne sont pas perturbées. Veuillez consulter la documentation d’HAQM Linux et les outils de migration pour plus de détails.

Q. Sur quelles plateformes de virtualisation sur site s'exécute HAQM Linux 2 ?
Les images de machines virtuelles HAQM Linux 2 sont actuellement disponibles pour les plateformes de virtualisation KVM, Microsoft Hyper-V, Oracle VM VirtualBox et VMware ESXi à des fins de développement et de test. Nous cherchons à obtenir la certification de ces plateformes de virtualisation.

Q. Comment puis-je commencer à utiliser l'image de machine virtuelle HAQM Linux 2 dans mon environnement de développement local ?
Une image de machine virtuelle pour chaque hyperviseur pris en charge est disponible en téléchargement. Après avoir téléchargé l'image, suivez la documentation HAQM Linux pour commencer.

Q. Y a-t-il des coûts associés à l'exécution d'HAQM Linux 2 sur site ?
Non. Il n'y a pas de frais supplémentaires pour l'exécution d'HAQM Linux 2 sur site.

Q. Un compte AWS est-il requis pour exécuter HAQM Linux 2 sur site ?
Non, aucun compte AWS n'est nécessaire pour exécuter HAQM Linux 2 sur site.

Q. Quelle est la configuration minimale requise pour exécuter HAQM Linux 2 ?
HAQM Linux 2 nécessite au minimum une machine virtuelle 64 bits dotée de 512 Mo de mémoire, d'un processeur virtuel et d'un BIOS émulé.

Q. Les images de machines virtuelles sur site HAQM Linux 2 bénéficieront-elles de mises à jour de sécurité de la part d’AWS ?
Oui, AWS fournira des mises à jour de sécurité et des correctifs de bugs pour tous les packages de base. De plus, AWS assurera la compatibilité de l’interface binaire d’application (ABI) utilisateur-espace pour les packages de base suivants.

Q. Puis-je bénéficier d'une assistance payante pour les images de machine virtuelle sur site d'HAQM Linux 2 auprès d'AWS Support ?
Non, à l'heure actuelle, AWS Support ne propose pas d’assistance payante pour les machines virtuelles HAQM Linux 2 exécutées sur site. Le support de la communauté via les forums HAQM Linux 2 est la principale source d'assistance pour répondre aux questions et résoudre les problèmes liés à l'utilisation sur site. La documentation HAQM Linux 2 fournit des recommandations pour rendre vos machines virtuelles HAQM Linux 2 et vos conteneurs opérationnels, configurer le système d'exploitation (OS) et installer des applications.

Q. Comment HAQM Linux évalue-t-il les CVE ?

HAQM Linux évalue les vulnérabilités et failles de sécurité courantes (CVE) découvertes dans le cadre de son processus interne. Il évalue le risque potentiel pour ses produits et prend des mesures telles que la publication d'une mise à jour de sécurité ou d'un avis de sécurité. Les CVE reçoivent un score de Common Vulnerability Scoring System (CVSS), qui est une méthode standard pour évaluer et classer la gravité des vulnérabilités. La principale source de données pour les CVE est la base de données nationale sur les vulnérabilités (NVD). HAQM Linux collecte également des informations de sécurité auprès d'autres sources, telles que des avis aux fournisseurs et des rapports émanant de clients et de chercheurs.

En savoir plus >>

Q : Pourquoi un scanner de sécurité signale-t-il une CVE non corrigée dans un package HAQM Linux alors qu'un avis de sécurité HAQM Linux indique que la CVE a été corrigée dans cette version ?

Comme la plupart des distributions Linux, HAQM Linux rétroporte régulièrement les correctifs de sécurité vers les versions de packages stables vendues dans ses référentiels. Lorsque ces packages sont mis à jour grâce à un rétroportage, le bulletin de sécurité HAQM Linux relatif au problème en question répertorie les versions de package spécifiques dans lesquelles le problème a été résolu pour HAQM Linux. Les scanners de sécurité qui s'appuient sur la gestion des versions effectué par les auteurs d'un projet ne détectent parfois pas qu'un correctif CVE donné a été appliqué dans une ancienne version. Les clients peuvent consulter HAQM Linux Security Center (ALAS) pour obtenir des mises à jour concernant les problèmes de sécurité et les correctifs.

Q. De quelle manière HAQM Linux communique-t-il la gravité d'un problème de sécurité ?

HAQM Linux Security diffuse des avis de sécurité concernant les produits HAQM Linux dans HAQM Linux Security Center (ALAS). Les avis de sécurité incluent généralement l'identifiant de l'avis, la gravité du problème, l'identifiant CVE, un aperçu de l'avis, les packages concernés et la correction du problème. Les CVE référencées dans l'avis se voient attribuer un score CVSS (nous utilisons des scores CVSSv3 mais les CVE antérieures à 2018 peuvent avoir un score CVSSv2) et un vecteur pour les packages concernés. Le score est représenté par une valeur décimale comprise entre 0 et 10. Les scores les plus élevés indiquent une vulnérabilité plus grave. HAQM Linux s'aligne sur le score du calculateur CVSSv3 de cadre ouvert pour déterminer la métrique de base. L'évaluation est la manière dont nous communiquons à nos clients la gravité des problèmes de sécurité. Les clients peuvent combiner ces évaluations avec les principales caractéristiques de leur environnement pour une évaluation des risques plus appropriée.

Q. De quelle manière les clients peuvent-ils se tenir informés des avis de sécurité émis par HAQM Linux ?

HAQM Linux propose des avis de sécurité relatifs aux consommables humains et machines, dans lesquels les clients peuvent s'abonner à nos flux RSS ou configurer des outils de numérisation pour analyser le code HTML. Les flux pour nos produits sont disponibles ici :

HAQM Linux 1/Flux RSS d’HAQM Linux 1
HAQM Linux 2/Flux RSS d’HAQM Linux 2
HAQM Linux 2023 / HAQM Linux 2023 RSS
 

Q. Qu'est-ce que la norme FIPS 140-2 ?

Federal Information Processing Standards (FIPS) 140-2 spécifient les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. En septembre 2020, le programme de validation des modules cryptographiques (CMVP) est passé à la norme FIPS 140-3 et n'accepte plus les soumissions FIPS 140-2 pour les nouveaux certificats de validation.
Les modules validés comme étant conformes à la norme FIPS 140-2 continueront d'être acceptés par les agences fédérales des deux pays pour la protection des informations sensibles (États-Unis) ou des informations désignées (Canada) jusqu'au 21 septembre 2026. Passé ce délai, le CMVP placera tous les modules validés par la norme FIPS 140-2 sur la liste historique. 

Q. Comment activer FIPS sur HAQM Linux 2 ?

Les instructions d'activation du mode FIPS se trouvent dans Activer le mode FIPS.

Q. La certification FIPS d'HAQM Linux 2 est-elle validée ?

Les modules cryptographiques HAQM Linux 2 (modules OpenSSL, Libgcrypt, NSS, GnuTLS et Kernel) sont validés FIPS 140-2. Pour plus de détails, veuillez consulter le site web du CMVP.

Q. Qu'est-ce que le statut FIPS AL2 ?

Q. Comment puis-je être conforme à la norme FIPS sur AL2 après octobre 2024 ?

Les certifications FIPS AL2 ont commencé à disparaître progressivement à partir d’octobre 2024. Il est probable que les modules validés FIPS AL2 soient dans leur état historique avant que les modules cryptographiques AL2023 n’aient obtenu leur validation FIPS. Le manuel de gestion du programme de validation du module cryptographique FIPS 140-3 (section 4.8) définit le terme « Historique » comme suit : Historique – Les agences peuvent déterminer les risques liés à l’opportunité de continuer à utiliser ce module sur la base de leur propre évaluation de l’endroit et de la manière dont il est utilisé. Pour plus de détails, veuillez consulter la page web du CMVP. AWS recommande de migrer vers AL2023 ou de consulter votre équipe de conformité au sujet de l’utilisation des modules validés AL2 FIPS dont le statut est historique.

Q. Sur quels environnements d’exploitation les tests HAQM Linux 2 ont-ils été effectués ?

AL2 OpenSSL, NSS, Libgcrypt, Kernel et GnuTLS sont validés FIPS 140-2 sur Intel et Graviton. Pour plus de détails, veuillez consulter le site web du CMVP.

Q. Qu’est-ce qu’HAQM Linux extras ?

Extras est un mécanisme d’HAQM Linux 2 qui permet l’utilisation de nouvelles versions d’un logiciel d’application sur un système d’exploitation stable. Extras contribue à réduire le compromis entre stabilité du système d’exploitation et utilisation des logiciels disponibles dans leur dernière version. Par exemple, vous pouvez désormais installer les versions les plus récentes de MariaDB sur un système d’exploitation stable pris en charge pendant cinq ans. Parmi les exemples d’extras, citons tomcat9, memcached 1.5, Corretto 1.0.0_242, Postgresql 13, MariaDB 10.5, Go 1.9, Redis 6.0, R 4, Rust 1.38.0.

Q. Comment fonctionne HAQM Linux extras ?
Extras fournit des rubriques permettant de sélectionner des offres de logiciels. Chaque rubrique contient toutes les dépendances nécessaires à l'installation et au fonctionnement du logiciel sur HAQM Linux 2. Par exemple, Rust est une rubrique extras dans la liste sélectionnée et fournie par HAQM. Cette rubrique fournit la chaîne d'outils et les environnements d'exécution nécessaires à Rust, le langage de programmation des systèmes. Celle-ci inclut le système de construction cmake pour Rust, cargo (le gestionnaire de packages Rust) et la chaîne d'outils de compilation basée sur LLVM pour Rust. Les packages associés à chaque rubrique sont utilisés avec le célèbre processus d'installation de yum.

Q. Comment installer un package logiciel depuis le référentiel HAQM Linux extras ?
Les packages disponibles peuvent être répertoriés à l'aide de la commande amazon-linux-extras dans le shell d’HAQM Linux 2. Les packages provenant d'extras peuvent être installés à l'aide de la commande « sudo amazon-linux-extras install ».

Exemple : $ sudo amazon-linux-extras install rust1

Consultez la documentation HAQM Linux pour plus de détails sur la prise en main d'HAQM Linux extras.

Q. Les packages inclus dans extras seront-ils portés vers la version « de base » avec une prise en charge à long terme ?
Au fil du temps, les technologies répertoriées dans extras évoluant rapidement vont continuer à de se perfectionner et de se stabiliser. Elles pourraient être ajoutées à la version « de base » d'HAQM Linux 2 auquel s'appliquent les politiques de support à long terme.

Q. Quelles sont les applications tierces prises en charge pour fonctionner sur HAQM Linux 2 ?

HAQM Linux 2 dispose d'une communauté de fournisseurs indépendants de logiciels (ISV) en pleine croissance, dont Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX, et bien d’autres encore.

Une liste complète des applications ISV prises en charge est disponible sur la page HAQM Linux 2

Pour faire certifier votre application avec HAQM Linux 2, contactez-nous.

Q. Que sont les correctifs en direct du noyau dans HAQM Linux 2 ?

La fonctionnalité de correctifs en direct du noyau dans HAQM Linux 2 est une fonctionnalité qui permet d'appliquer des correctifs de sécurité et de bugs à un noyau Linux en cours d'exécution sans avoir à le redémarrer. Les correctifs en direct du noyau HAQM Linux sont fournis aux référentiels de packages existants pour HAQM Linux 2 et peuvent être appliqués à l'aide de commandes yum classiques telles que « yum update —security » lorsque la fonctionnalité a été activée.

Q. Quels sont les cas d'utilisation des correctifs en direct du noyau dans HAQM Linux 2 ?

Les cas d'utilisation ciblés par les correctifs en direct du noyau dans HAQM Linux 2 incluent :

• Des correctifs d'urgence pour corriger les failles de sécurité les plus graves et les bugs de corruption de données sans interruption de service.
• L’application de mises à jour du système d'exploitation sans attendre la fin des tâches de longue durée, la déconnexion des utilisateurs ou les plages horaires de redémarrage prévues pour appliquer les mises à jour de sécurité.
• L’accélération du déploiement des correctifs de sécurité en éliminant les redémarrages progressifs requis dans les systèmes hautement disponibles

Q. Quand est-ce qu'AWS fournit des correctifs en direct du noyau ?

AWS fournit généralement des correctifs en direct du noyau pour corriger les CVE pour le noyau HAQM Linux 2 par défaut, lorsqu’elles sont notées comme critiques et importantes par AWS. Les notes critiques et importantes attribuées dans un avis de sécurité HAQM Linux correspondent généralement à un score de Common Vulnerability Scoring System (CVSS) de 7 ou plus. En outre, AWS fournira également des correctifs en direct du noyau dans le cadre de certaines corrections de bugs afin de résoudre les problèmes de stabilité du système et les problèmes potentiels de corruption des données. Il se peut qu'un petit nombre de problèmes ne reçoivent pas les correctifs en direct du noyau malgré leur gravité en raison de limitations techniques. Par exemple, les correctifs qui modifient le code assembleur ou les signatures des fonctions peuvent ne pas recevoir de correctifs en direct du noyau. Les noyaux d'HAQM Linux 2 Extras et tout logiciel tiers qui n'est pas développé et diffusé par AWS ne recevront pas de correctifs en direct du noyau.

Q. L'utilisation des correctifs en direct du noyau dans HAQM Linux 2 comporte-t-elle des frais ?

Nous fournissons gratuitement les correctifs en direct du noyau pour HAQM Linux 2.

Q. Comment utiliser les correctifs en direct du noyau dans HAQM Linux 2 ?

Les correctifs en direct du noyau sont fournis par HAQM et peuvent être utilisés avec le gestionnaire de packages yum et les utilitaires d'HAQM Linux 2 ainsi que par le gestionnaire de correctifs d'AWS Systems Manager. Chaque correctif en direct du noyau est fourni sous la forme d'un package RPM. Les correctifs en direct du noyau sont actuellement désactivés par défaut dans HAQM Linux 2. Vous pouvez utiliser le plugin yum disponible pour activer et désactiver les correctifs en direct du noyau. Vous pouvez ensuite utiliser les flux de travail existants dans l'utilitaire yum pour appliquer des correctifs de sécurité, notamment des correctifs en direct du noyau. De plus, l'utilitaire de ligne de commande kpatch peut être utilisé pour énumérer, appliquer et activer/désactiver les correctifs en direct du noyau.

• « sudo yum install -y yum-plugin-kernel-livepatch » installe le plugin yum pour la fonctionnalité de correctifs en direct du noyau sur HAQM Linux.
• « sudo yum kernel-livepatch enable -y » active le plugin.
• « sudo systemctl enable kpatch.service » active le service kpatch, l'infrastructure des correctifs en direct du noyau utilisée dans HAQM Linux.
• « sudo amazon-linux-extras enable livepatch » ajoute les points de terminaison du référentiel de correctifs en direct du noyau.
• « yum check-update kernel » affiche la liste des noyaux disponibles pour une mise à jour.
• « yum updateinfo list » répertorie les mises à jour de sécurité disponibles.
• « sudo yum update --security » installe les correctifs disponibles, y compris les correctifs en direct du noyau disponibles en tant que correctifs de sécurité.
• « kpatch list » est utilisée pour répertorier tous les correctifs en direct du noyau chargés.

Q. Le gestionnaire de correctifs d'AWS Systems Manager prend-il en charge l'application de correctifs en direct ?

Oui. Vous pouvez utiliser le gestionnaire de correctifs d'AWS SSM pour automatiser l'application des correctifs en direct du noyau sans avoir à redémarrer immédiatement lorsque le correctif est disponible en tant que correctif en direct. Consultez la documentation du gestionnaire de correctifs d'AWS SSM pour commencer.

Q. Où puis-je obtenir des informations sur les correctifs de sécurité fournis par le biais des correctifs en direct du noyau ?

AWS publie des informations sur les correctifs en direct du noyau destinés à corriger les failles de sécurité du HAQM Linux Security Center.

Q. L'utilisation des correctifs en direct du noyau est-elle soumise à des restrictions ?

Lorsque vous appliquez un correctif en direct du noyau dans HAQM Linux 2, vous ne pouvez pas exécuter simultanément une mise en veille prolongée, ni utiliser des outils de débogage avancés tels que SystemTap, kprobes, les outils basés sur eBPF et accéder aux fichiers de sortie ftrace utilisés par l'infrastructure de mise à jour en direct du noyau.

Q. Comment résoudre les problèmes qui peuvent survenir lors de l'application des correctifs en direct du noyau à HAQM Linux 2 ?

Si vous rencontrez des problèmes avec un correctif en direct du noyau, désactivez le correctif et informez-en AWS Support ou HAQM Linux Engineering via une publication sur les forums AWS.

Q. Les correctifs en direct du noyau dans HAQM Linux 2 éliminent-t-ils complètement le besoin de redémarrages pour appliquer les correctifs de sécurité ?

Les correctifs en direct du noyau dans HAQM Linux 2 ne suppriment pas totalement la nécessité de redémarrer le système d'exploitation, mais permettent de résoudre des problèmes de sécurité importants et critiques en dehors des périodes de maintenance planifiées. Chaque noyau Linux dans HAQM Linux 2 recevra des correctifs actifs environ 3 mois après la sortie d'un noyau HAQM Linux. Après chaque période de 3 mois, le système d'exploitation doit être redémarré avec la dernière version du noyau HAQM Linux pour continuer à recevoir les correctifs en direct du noyau.

Q. Dans quels instances EC2 et environnements sur site les correctifs en direct du noyau dans HAQM Linux 2 sont-ils pris en charge ?

Les correctifs en direct du noyau dans HAQM Linux 2 sont pris en charge sur toutes les plateformes x86_64 (AMD/Intel 64 bits) sur lesquelles HAQM Linux 2 est pris en charge. Cela inclut toutes les instances HVM EC2, VMware Cloud on AWS, VMware ESXi, VirtualBox, KVM, Hyper-V et KVM. Les plateformes basées sur ARM ne sont actuellement pas prises en charge.

Q. AWS continuera-t-il à fournir des correctifs réguliers (qui ne sont pas « en direct ») pour les mises à jour du système d'exploitation fournies avec les correctifs en direct du noyau ?

Oui, AWS continuera à fournir des correctifs réguliers pour toutes les mises à jour du système d'exploitation. En règle générale, les correctifs classiques et les correctifs en direct du noyau seront fournis en même temps.

Q. Que se passe-t-il si un redémarrage est effectué sur des systèmes HAQM Linux 2 dont le noyau a été corrigé en direct ?

Par défaut, lorsqu'un redémarrage est effectué, les correctifs en direct du noyau sont remplacés par des correctifs équivalents classiques qui ne sont pas « en direct ». Vous pouvez également effectuer des redémarrages sans remplacer les correctifs en direct du noyau par des correctifs classiques. Consultez la documentation relatives aux correctifs en direct du noyau dans HAQM Linux 2 pour plus de détails.

Q. Les correctifs en direct du noyau affectent-t-ils la compatibilité ABI d'HAQM Linux 2 ?

Les correctifs en direct du noyau dans HAQM Linux 2 ne modifient pas la compatibilité de l'ABI du noyau d'HAQM Linux 2.

Q. Comment puis-je bénéficier d'une assistance premium pour les problèmes susceptibles de survenir lors de l'application des correctifs en direct du noyau ?

Les plans Business et Enterprise pour AWS Support incluent une assistance premium pour toutes les fonctionnalités d'HAQM Linux, y compris les correctifs en direct du noyau. AWS ne prend en charge que les correctifs en direct du noyau fournis par AWS et recommande de contacter votre fournisseur en cas de problème avec des solutions tierces de correctifs en direct du noyau. AWS vous recommande également de n'utiliser qu'une seule solution de correctifs en direct du noyau sur HAQM Linux 2.

Q. Comment les correctifs en direct du noyau seront-ils indiqués dans le centre de sécurité HAQM Linux ?

Une ligne dédiée dans les listes du centre de sécurité HAQM Linux apparaîtra pour chaque correctif en direct du noyau. L'entrée aura une identification au format suivant : « ALASLIVEPATCH-<datestamp> », et le nom du package apparaîtra sous la format suivant : « kernel-livepatch-<kernel-version> ».

Q. Pendant combien de temps un noyau HAQM Linux reçoit-il des correctifs en direct ?

Une version du noyau bénéficiera de correctifs en direct pendant environ 3 mois. HAQM Linux fournira des correctifs en direct pour les 6 derniers noyaux publiés. Notez que les correctifs en direct du noyau seront pris en charge uniquement sur le noyau par défaut publié dans HAQM Linux 2. Le noyau de prochaine génération inclus dans les extras ne recevra pas de correctifs en direct.

Pour savoir si le noyau Linux actuel continue de recevoir des correctifs en direct ou non, et la date à laquelle cette fenêtre de prise en charge se termine, utilisez la commande yum suivante :

« yum kernel-livepatch supported »

Q. Quels sont les flux de travail yum pris en charge pour les correctifs en direct du noyau ?

Le plugin de correctifs en direct du noyau yum prend en charge tous les flux de travail normalement pris en charge dans l'utilitaire de gestion de packages yum. Par exemple, « yum update », « yum update kernel », « yum update —security », « yum update all ».

Q. Les correctifs en direct du noyau sont-ils signés ?

Les RPM de correctifs en direct du noyau sont signés à l’aide de clés GPG. Cependant, les modules du noyau ne sont pas signés pour le moment.