Domande frequenti su HAQM Linux 2

D: Cos'è HAQM Linux 2?

HAQM Linux 2 è un sistema operativo di HAQM Linux che offre un ambiente di applicazioni moderne con i miglioramenti più recenti provenienti dalla community di Linux e include supporto a lungo termine. Oltre ad HAQM Machine Images (AMI) e ai formati di immagine dei container, HAQM Linux 2 è disponibile come immagine della macchina virtuale per lo sviluppo e il test on-premise, consentendo di sviluppare, testare e certificare facilmente le applicazioni direttamente dall'ambiente di sviluppo locale.

D: Quando terminerà il supporto per HAQM Linux 2?

La data di fine del supporto di HAQM Linux 2 (End of Life o EOL) sarà il 30/06/2026.

D: Quali differenze ci sono tra HAQM Linux 2 e HAQM Linux 2023?

Consulta la documentazione per ulteriori informazioni sulle principali differenze tra queste distribuzioni.

D: Quali sono i vantaggi dell'utilizzo di HAQM Linux 2?

HAQM Linux 2 supporta le più recenti funzionalità delle istanze HAQM Elastic Compute Cloud (HAQM EC2) e include pacchetti che consentono una facile integrazione con AWS. È ottimizzato per l'utilizzo su HAQM EC2 con una versione del kernel Linux più recente e adeguata. Di conseguenza, molti carichi di lavoro dei clienti offrono prestazioni migliori su HAQM Linux 2. HAQM Linux 2 è disponibile come immagini di macchine virtuali on-premise che consentono lo sviluppo e il test locali.

D: Quali carichi di lavoro o casi d'uso sono supportati da HAQM Linux 2?

HAQM Linux 2 è adatto per un'ampia varietà di carichi di lavoro virtualizzati e containerizzati, come database, analisi dei dati, applicazioni di settore, applicazioni Web e desktop e altro ancora in contesti di produzione. È inoltre disponibile per l'utilizzo sulle istanze EC2 Bare Metal sia come sistema operativo bare metal che come host di virtualizzazione.

D: Quali sono i componenti principali di HAQM Linux 2?

I componenti principali di HAQM Linux 2 sono:

1. Un kernel Linux ottimizzato per le prestazioni su HAQM EC2.
2. Una serie di pacchetti principali tra cui systemd, GCC 7.3, Glibc 2.26, Binutils 2.29.1 che ricevono supporto a lungo termine (Long Term Support, LTS) da AWS.
3. Un canale aggiuntivo per tecnologie in rapida evoluzione che probabilmente verranno aggiornate frequentemente e al di fuori del modello di supporto a lungo termine (LTS).

D: In che modo HAQM Linux 2 è diverso dall'AMI HAQM Linux?
Le principali differenze tra HAQM Linux 2 e l'AMI HAQM Linux sono:

1. HAQM Linux 2 è disponibile come immagini di macchine virtuali per lo sviluppo e il test on-premises.
2. HAQM Linux 2 fornisce il servizio systemd e il gestore di sistemi, rispetto al sistema init System V presente nell'AMI HAQM Linux.
3. HAQM Linux 2 include un kernel Linux aggiornato, una libreria C, un compilatore e degli strumenti.
4. HAQM Linux 2 offre la possibilità di installare ulteriori pacchetti software tramite il meccanismo degli extra.

D: Come si inizia a utilizzare HAQM Linux 2 su AWS?

AWS fornisce un'HAQM Machine Image (AMI) per HAQM Linux 2 che è possibile utilizzare per avviare un'istanza dalla console HAQM EC2, dall'SDK AWS e dalla CLI. Consulta la documentazione di HAQM Linux per ulteriori dettagli.

D: Sono previsti costi associati all'esecuzione di HAQM Linux 2 su HAQM EC2?

No, non sono previsti costi aggiuntivi per l'utilizzo di HAQM Linux 2. Si applicano le tariffe standard di HAQM EC2 e AWS per l'esecuzione delle istanze HAQM EC2 e di altri servizi.

D: Quali tipi di istanze HAQM EC2 supporta HAQM Linux 2?

HAQM Linux 2 supporta tutti i tipi di istanze HAQM EC2 che supportano le AMI HVM. HAQM Linux 2 non supporta le istanze precedenti che richiedono funzionalità di paravirtualizzazione (PV).

D: HAQM Linux 2 supporta applicazioni e librerie a 32 bit?

Sì, HAQM Linux 2 supporta librerie e applicazioni a 32 bit. Se stai utilizzando una versione di HAQM Linux 2 lanciata prima del 04/10/2018, puoi eseguire uno "yum upgrade" per ottenere il supporto completo a 32 bit.  

D: HAQM Linux 2 è dotato di un desktop con interfaccia utente grafica (Graphical User Interface, GUI)?
Sì, l'ambiente desktop MATE è fornito come extra su HAQM Linux 2. HAQM WorkSpaces fornisce desktop cloud basati su HAQM Linux 2 con una GUI. Per ulteriori informazioni, clicca qui.

D: Posso visualizzare il codice sorgente per i componenti di HAQM Linux 2?

Sì. Lo strumento yumdownloader --source di HAQM Linux 2 fornisce l'accesso al codice sorgente per molti componenti.

D: Perché Python 2.7 fa ancora parte di HAQM Linux 2?

Continueremo a fornire patch di sicurezza critiche per Python 2 come previsto dal nostro impegno LTS per i pacchetti principali di HAQM Linux 2, anche se la comunità Python upstream ha dichiarato la fine del ciclo di vita di Python 2.7 a gennaio 2020.

D: È consigliabile migrare il codice a Python 3 ed evitare Python 2.7?

Consigliamo vivamente ai nostri clienti di installare Python 3 sui loro sistemi HAQM Linux 2 e di migrare il codice e le applicazioni su Python 3.

D: HAQM Linux 2 si sta allontanando da Python 2.7?

Non è prevista alcuna modifica dell'interprete Python predefinito. È nostra intenzione mantenere Python 2.7 come impostazione predefinita per tutta la vita di HAQM Linux 2. Se necessario, eseguiremo il backport delle correzioni di sicurezza ai nostri pacchetti Python 2.7.

D: Perché HAQM Linux 2 non abbandona Python 2.7 per il gestore di pacchetti "yum" o non passa a DNF, che è basato su Python 3?

Durante una versione LTS del sistema operativo, il rischio di apportare modifiche fondamentali, sostituire o aggiungere un altro gestore di pacchetti è estremamente elevato. Pertanto, nel pianificare la migrazione di Python 3 per HAQM Linux, abbiamo deciso di farlo attraverso un limite di rilascio principale anziché all'interno di HAQM Linux 2. Si tratta di un approccio condiviso da altre distribuzioni Linux basate su RPM, anche quelle senza impegni LTS.

D: In che misura kernel 5.10 è diverso da kernel 4.14?

Kernel 5.10 offre una serie di miglioramenti delle funzionalità e delle prestazioni, tra cui ottimizzazioni per i processori Intel Ice Lake e Graviton 2 che supportano le istanze EC2 di ultima generazione.

Dal punto di vista della sicurezza, i clienti traggono vantaggio da WireGuard VPN, che aiuta a configurare una rete privata virtuale efficace con una superficie di attacco ridotta e consente la crittografia con un sovraccarico inferiore. Kernel 5.10 include anche una funzionalità di blocco del kernel per impedire modifiche non autorizzate della sua immagine e una serie di miglioramenti BPF, incluso il CO-RE (Compile Once - Run Everywhere, ovvero 'compila una volta - esegui dappertutto').

I clienti con operazioni di input-output intensive trarranno vantaggio dal miglioramento delle prestazioni di scrittura, dalla condivisione più sicura degli anelli io_uring tra i processi per operazioni di input-output più veloci e dal supporto del nuovo sistema exFAT per una migliore compatibilità con i dispositivi di archiviazione. Con l'aggiunta di MultiPath TCP (MPTCP), i clienti con diverse interfacce di rete possono combinare tutti i percorsi di rete disponibili per aumentare la velocità di trasmissione effettiva e ridurre gli errori di rete.

D: Cosa è incluso nel supporto a lungo termine per HAQM Linux 2?

Il supporto a lungo termine per HAQM Linux 2 si applica solo ai pacchetti principali e include i seguenti servizi:
1) AWS fornirà aggiornamenti di sicurezza e correzioni di bug per tutti i pacchetti principali.
2) AWS manterrà la compatibilità dell'Application Binary Interface (ABI) nello spazio utente per i seguenti pacchetti principali:

elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs, e zlib

3) AWS fornirà la compatibilità dell'Application Binary Interface (ABI) per tutti gli altri pacchetti principali, a meno che tale compatibilità non sia impossibile per motivi indipendenti da AWS.

D: HAQM Linux 2 mantiene la compatibilità ABI nello spazio del kernel?
No, HAQM Linux 2 non mantiene la compatibilità ABI nello spazio del kernel. Se viene apportata una modifica nel kernel Linux upstream che compromette la stabilità dell'ABI, le applicazioni che fanno capo a driver del kernel di terze parti potrebbero richiedere ulteriori modifiche.

D: AWS offre soluzioni di sicurezza backport per HAQM Linux 2?
Sì. HAQM rimuove regolarmente le correzioni dalla versione più recente dei pacchetti software upstream e le applica alla versione del pacchetto su HAQM Linux 2. Durante questo processo, HAQM isola la correzione da qualsiasi altra modifica, assicura che le correzioni non comportino effetti collaterali indesiderati e poi applica le correzioni.

D: Le politiche di supporto a lungo termine si applicano agli argomenti aggiuntivi?
I contenuti degli argomenti aggiuntivi sono esenti dalla politica di HAQM Linux sul supporto a lungo termine e sulla compatibilità binaria. Gli argomenti aggiuntivi forniscono l'accesso a un elenco curato di tecnologie in rapida evoluzione e probabilmente verranno aggiornati frequentemente. Con il rilascio di nuove versioni di pacchetti negli argomenti aggiuntivi, il supporto verrà fornito solo per i pacchetti più recenti. Nel tempo, queste tecnologie continueranno a maturare e stabilizzarsi e potrebbero eventualmente essere aggiunte ai repository "principali" di HAQM Linux 2 a cui si applicano le politiche di supporto a lungo termine di HAQM Linux 2.

D: Verranno fornite build aggiuntive di HAQM Linux 2 dopo il rilascio delle build LTS?
Sì. Le nuove build faranno riferimento agli stessi repository e includeranno il set cumulativo di aggiornamenti di sicurezza e funzionalità per evitare la necessità di applicare aggiornamenti in sospeso.

D: Dove è possibile reperire aggiornamenti per HAQM Linux 2?
Gli aggiornamenti per HAQM Linux 2 sono forniti con un repository preconfigurato ospitato in ciascuna regione AWS. All'avvio di una nuova istanza, HAQM Linux tenta di installare qualsiasi aggiornamento di sicurezza dello spazio utente considerato critico o importante. Inoltre, è possibile abilitare o disabilitare l'installazione automatica di patch di sicurezza critiche e importanti al momento dell'avvio dell'istanza.

D: In che modo è possibile automatizzare l'applicazione di patch di sicurezza su HAQM Linux 2 su larga scala?

La Gestione patch di AWS Systems Manager funziona con HAQM Linux 2 per automatizzare il processo di patching delle istanze HAQM Linux 2 su larga scala. La Gestione patch può cercare le patch mancanti o cercarle e installarle su grandi gruppi di istanze. La Gestione patch di Systems Manager può essere utilizzata anche per installare patch per aggiornamenti diversi da quelli relativi alla sicurezza.

D: Quali opzioni di supporto premium sono disponibili per HAQM Linux 2?
Il supporto per l'utilizzo di HAQM Linux 2 su HAQM Web Services (AWS) è incluso tramite abbonamenti al Supporto AWS.

Attualmente, il Supporto AWS non copre l'utilizzo on-premise di HAQM Linux 2. Il forum e la documentazione di HAQM Linux 2 sono le principali fonti di supporto per l'utilizzo on-premise di HAQM Linux 2. È possibile pubblicare domande, segnalare bug e richiedere funzionalità nei forum di HAQM Linux 2.

D: È possibile eseguire un aggiornamento continuo da HAQM Linux 2 LTS Candidate 2 alla versione LTS di HAQM Linux 2?
Sì, è possibile un aggiornamento continuo da HAQM Linux 2 LTS Candidate 2 ad HAQM Linux 2. Tuttavia, eventuali modifiche nella build LTS finale potrebbero causare danni all'applicazione. Consigliamo di testare l'applicazione su una nuova installazione di HAQM Linux 2 prima di eseguire la migrazione.

D: AWS supporterà l'AMI HAQM Linux in futuro?

Sì. Per facilitare la migrazione ad HAQM Linux 2, AWS continuerà a offrire aggiornamenti di sicurezza per l'ultima versione di HAQM Linux e dell'immagine di container fino al 31 dicembre 2020. Inoltre, è possibile utilizzare tutti i canali di supporto esistenti come il Supporto AWS Premium e il Forum di discussione di HAQM Linux per continuare a inviare richieste di supporto.

D: HAQM Linux 2 è retrocompatibile con la versione esistente dell'AMI HAQM Linux?
A causa dell'inclusione di componenti come systemd in HAQM Linux 2, le applicazioni in esecuzione sulla versione attuale di HAQM Linux potrebbero richiedere modifiche aggiuntive per funzionare su HAQM Linux 2.

D: È possibile eseguire un aggiornamento sul posto da una versione esistente dell'AMI HAQM Linux ad HAQM Linux 2?
No, l'aggiornamento sul posto dall'immagine HAQM Linux esistente ad HAQM Linux 2 non è supportato. Consigliamo di testare l'applicazione su una nuova installazione di HAQM Linux 2 prima di eseguire la migrazione.

D: È possibile eseguire un aggiornamento in sequenza su istanze che eseguono AMI HAQM Linux verso HAQM Linux 2?
No, le istanze che eseguono HAQM Linux non verranno aggiornate ad HAQM Linux 2 con meccanismi di aggiornamento in sequenza. Pertanto, non vi è alcuna interruzione delle applicazioni esistenti. Per maggiori dettagli, consulta gli strumenti di migrazione e la documentazione di HAQM Linux.

D: Su quali piattaforme di virtualizzazione on-premise funziona HAQM Linux 2?
Le immagini delle macchine virtuali HAQM Linux 2 sono attualmente disponibili per le piattaforme di virtualizzazione KVM, Microsoft Hyper-V, Oracle VM VirtualBox e VMware ESXi per l'utilizzo in sviluppo e test. Stiamo cercando di ottenere la certificazione per queste piattaforme di virtualizzazione.

D: Come si inizia a utilizzare l'immagine della macchina virtuale HAQM Linux 2 in un ambiente di sviluppo locale?
È possibile scaricare un'immagine della macchina virtuale per ogni hypervisor supportato. Dopo aver scaricato l'immagine, segui la documentazione di HAQM Linux per iniziare.

D: Sono previsti costi associati all'esecuzione di HAQM Linux 2 on-premise?
No, non sono previsti costi aggiuntivi per l'esecuzione di HAQM Linux 2 on-premise.

D: È necessario un account AWS per eseguire HAQM Linux 2 on-premise?
No, non è necessario un account AWS per eseguire HAQM Linux 2 on-premise.

D: Quali sono i requisiti minimi di sistema per eseguire HAQM Linux 2?
Come minimo, HAQM Linux 2 richiede una macchina virtuale a 64 bit con 512 MB di memoria, 1 CPU virtuale e un BIOS emulato.

D: Le immagini VM on-premises di HAQM Linux 2 riceveranno aggiornamenti di sicurezza da AWS?
Sì, AWS fornirà aggiornamenti di sicurezza e correzioni di bug per tutti i pacchetti principali. Inoltre, AWS manterrà la compatibilità dell'Application Binary Interface (ABI) nello spazio utente per i seguenti pacchetti principali.

D: È possibile ricevere assistenza a pagamento da parte del Supporto AWS per le immagini delle macchine virtuali on-premise di HAQM Linux 2?
No, al momento il Supporto AWS non offre assistenza a pagamento per le macchine virtuali HAQM Linux 2 in esecuzione on-premise. Il supporto della community tramite i forum di HAQM Linux 2 è la principale fonte di assistenza per rispondere alle domande e risolvere i problemi derivanti dall'utilizzo on-premise. La documentazione di HAQM Linux 2 fornisce indicazioni per rendere operative le macchine virtuali e i container HAQM Linux 2, configurare il sistema operativo e installare le applicazioni.

D: In che modo HAQM Linux valuta le CVE?

HAQM Linux valuta le vulnerabilità ed esposizioni comuni (Common Vulnerabilities and Exposures, CVE) rinvenute attraverso il proprio processo interno, stima il rischio potenziale per i propri prodotti e intraprende azioni come il rilascio di un aggiornamento o di un avviso di sicurezza. Alle CVE viene assegnato un punteggio secondo il Common Vulnerability Scoring System (CVSS), un metodo standard per assegnare un punteggio e classificare la gravità delle vulnerabilità. La fonte principale per i dati CVE è il National Vulnerability Database (NVD). Inoltre, HAQM Linux raccoglie informazioni sulla sicurezza da altre fonti, come avvisi dei fornitori e report di clienti e ricercatori.

Ulteriori informazioni >>

D: Perché uno scanner di sicurezza segnala una CVE non corretta in un pacchetto HAQM Linux quando un HAQM Linux Security Advisory afferma che la CVE è stata corretta in quella versione?

Come la maggior parte delle distribuzioni Linux, HAQM Linux esegue regolarmente il backport delle correzioni di sicurezza alle versioni stabili dei pacchetti distribuite nei suoi repository. Quando questi pacchetti vengono aggiornati con un backport, il bollettino sulla sicurezza di HAQM Linux relativo al problema in questione elencherà le versioni specifiche del pacchetto in cui il problema è stato risolto per HAQM Linux. Gli scanner di sicurezza che si basano sul controllo delle versioni degli autori di un progetto a volte non rilevano che una determinata correzione CVE è stata applicata in una versione precedente. I clienti possono rivolgersi all'HAQM Linux Security Center (ALAS) per aggiornamenti su problemi e correzioni di sicurezza.

D: In che modo HAQM Linux comunica la gravità di un problema di sicurezza?

HAQM Linux Security comunica avvisi di sicurezza riguardo ai prodotti HAQM Linux sull'HAQM Linux Security Center (ALAS). Gli avvisi di sicurezza includono in genere l'ID dell'Avviso, la gravità del problema, l'ID della CVE, la panoramica degli avvisi, i pacchetti interessati e la correzione del problema. Le CVE a cui si fa riferimento nell'avviso avranno un punteggio CVSS (utilizziamo punteggi CVSSv3, ma i CVE precedenti al 2018 potrebbero avere un punteggio CVSSv2) e un vettore per i pacchetti interessati. Il punteggio è un valore decimale compreso tra 0 e 10, dove i punteggi più alti indicano una vulnerabilità più grave. HAQM Linux si allinea al punteggio del calcolatore CVSSv3 del framework aperto per determinare la metrica di base. La classificazione indica il modo in cui comunichiamo la gravità dei problemi di sicurezza ai nostri clienti. I clienti possono combinare queste valutazioni con le caratteristiche chiave del proprio ambiente per una valutazione del rischio più appropriata.

D: In che modo i clienti possono tenersi aggiornati sugli avvisi di sicurezza di HAQM Linux?

HAQM Linux offre avvisi di sicurezza utilizzabili da utenti e macchine, in cui il cliente può abbonarsi ai nostri feed RSS o configurare strumenti di scansione per analizzare l'HTML. I feed per i nostri prodotti sono disponibili qui:

HAQM Linux 1 / HAQM Linux 1 RSS
HAQM Linux 2 / HAQM Linux 2 RSS
HAQM Linux 2023 / HAQM Linux 2023 RSS
 

D: Che cos'è FIPS 140-2?

Il Federal Information Processing Standard (FIPS) 140-2 ha specificato i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. A settembre 2020, il Cryptographic Module Validation Program (CMVP) è passato a FIPS 140-3 e non accetta più invii FIPS 140-2 per nuovi certificati di convalida.
I moduli convalidati come conformi alla FIPS 140-2 continueranno ad essere accettati dalle agenzie federali di entrambi i paesi per la protezione delle informazioni sensibili (Stati Uniti) o delle informazioni designate (Canada) fino al 21 settembre 2026. Dopo tale periodo, il CMVP inserirà tutti i moduli convalidati FIPS 140-2 nell'elenco storico. 

D: Come posso abilitare FIPS su HAQM Linux 2?

Le istruzioni per abilitare la modalità FIPS sono disponibili in Abilita modalità FIPS.

D: HAQM Linux 2 FIPS è convalidato?

I moduli crittografici HAQM Linux 2 (moduli OpenSSL, Libgcrypt, NSS, GnuTLS, Kernel) sono convalidati FIPS 140-2. Per maggiori dettagli, visita il sito Web del CMVP.

D: Cos'è lo stato FIPS AL2?

D: Come si ottiene la conformità a FIPS su AL2 dopo ottobre 2024?

Il declino graduale delle certificazioni FIPS AL2 è iniziato a partire da ottobre 2024. È probabile che i moduli convalidati FIPS AL2 siano in stato storico prima che i moduli crittografici AL2023 completino le convalide FIPS. Il manuale di gestione del programma di convalida dei moduli crittografici FIPS 140-3 (Sezione 4.8) fornisce la seguente definizione del termine “storico”: Storico: le agenzie possono assumersi il rischio di continuare a utilizzare questo modulo in base alle rispettive valutazioni di dove e come viene utilizzato. Per maggiori dettagli, visita il sito web del CMVP. AWS consiglia di migrare ad AL2023 o di consultare il team addetto alla conformità per l'uso dei moduli convalidati FIPS AL2 in stato storico.

D: In quali ambienti operativi sono stati condotti i test di HAQM Linux 2?

AL2 OpenSSL, NSS, Libgcrypt, Kernel e GnuTLS sono convalidati FIPS 140-2 su Intel e Graviton. Per maggiori dettagli, consulta il sito web del CMVP.

D: Cos'è HAQM Linux Extras?

Extras è un meccanismo di HAQM Linux 2 che consente l'utilizzo di nuove versioni del software applicativo su un sistema operativo stabile. Gli extra contribuiscono a mitigare il compromesso tra la stabilità del sistema operativo e la disponibilità di software aggiornati. Ad esempio, ora è possibile installare le versioni più recenti di MariaDB su un sistema operativo stabile supportato per cinque anni. Esempi di extra includono tomcat9, memcached 1.5, Corretto 1.0.0_242, Postgresql 13, MariaDB 10.5, Go 1.9, Redis 6.0, R 4, Rust 1.38.0.

D: Come funziona HAQM Linux Extras?
Gli extra forniscono argomenti per selezionare i pacchetti software. Ogni argomento contiene tutte le dipendenze necessarie per l'installazione e il funzionamento del software su HAQM Linux 2. Ad esempio, Rust è un argomento extra nell'elenco curato fornito da HAQM. Fornisce la toolchain e i runtime per Rust, il linguaggio di programmazione dei sistemi. Questo argomento include il sistema di compilazione cmake per Rust, cargo - il gestore di pacchetti rust e la toolchain di compilazione per Rust basata su LLVM. I pacchetti associati a ciascun argomento vengono utilizzati con il noto processo di installazione yum.

D: Come si installa un pacchetto software dal repository HAQM Linux extras?
È possibile elencare i pacchetti disponibili con il comando amazon-linux-extras nella shell (interprete di comandi) di HAQM Linux 2. È possibile installare i pacchetti degli extra con il comando "sudo amazon-linux-extras install".

Esempio: $ sudo amazon-linux-extras install rust1

Consulta la documentazione di HAQM Linux per ulteriori dettagli su come iniziare a utilizzare HAQM Linux Extras.

D: I pacchetti inclusi negli extra verranno spostati nella versione principale con Supporto a lungo termine?
Nel tempo, le tecnologie aggiuntive in rapida evoluzione continueranno a maturare e stabilizzarsi e potrebbero essere aggiunte alla versione "principale" di HAQM Linux 2 a cui si applicano le politiche di Supporto a lungo termine.

D: Quali applicazioni di terze parti sono supportate per l'esecuzione su HAQM Linux 2?

HAQM Linux 2 dispone di una comunità di fornitori di software indipendenti (ISV) in rapida crescita, tra cui Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX e altri.

Sulla pagina HAQM Linux 2 è disponibile un elenco completo delle applicazioni ISV supportate

Per ottenere la certificazione della tua applicazione con HAQM Linux 2, contattaci.

D: Cos'è Kernel Live Patching su HAQM Linux 2?

Kernel Live Patching su HAQM Linux 2 è una funzionalità che consente di applicare sicurezza e correzioni di bug a un kernel Linux in esecuzione senza la necessità di riavviare. Le patch live per il kernel HAQM Linux vengono distribuite ai repository di pacchetti esistenti per HAQM Linux 2 e possono essere applicate utilizzando normali comandi yum come "yum update —security" quando la funzionalità è stata attivata.

D: Quali sono i casi d'uso per Kernel Live Patching su HAQM Linux 2?

I casi d'uso su cui si concentra Kernel Live Patching su HAQM Linux 2 includono:

• Applicazione di patch di emergenza per risolvere vulnerabilità di sicurezza ad alta gravità e bug di danneggiamento dei dati senza tempi di inattività del servizio.
• Applicazione degli aggiornamenti del sistema operativo senza attendere il completamento delle attività di lunga durata, la disconnessione degli utenti o gli intervalli di riavvio pianificati per applicare gli aggiornamenti di sicurezza.
• Accelerazione dell'implementazione delle patch di sicurezza eliminando i riavvii continui richiesti nei sistemi ad alta disponibilità

D: Quando AWS fornisce le patch live del kernel?

Solitamente, AWS fornisce le patch live del kernel per correggere le CVE, che considera critiche e importanti, per il kernel HAQM Linux 2 predefinito. Le classifiche stilate da HAQM Linux Security Advisory riguardo a criticità e importanza corrispondono generalmente a un punteggio CVSS (Common Vulnerability Scoring System) pari o superiore a 7. Inoltre, AWS fornirà anche patch live del kernel per alcune correzioni di bug per risolvere problemi di stabilità del sistema e potenziali problemi di danneggiamento dei dati. Una piccola quantità di problemi potrebbe non ricevere le patch live del kernel nonostante la loro gravità a causa di limitazioni tecniche. Ad esempio, le correzioni che modificano il codice assembly o modificano le firme delle funzioni potrebbero non ricevere patch live del kernel. I kernel su HAQM Linux 2 Extras e su qualsiasi software di terze parti non creato e gestito da AWS non riceveranno patch live del kernel.

D: Sono previsti costi associati all'utilizzo di Kernel Live Patching su HAQM Linux 2?

Forniamo patch live del kernel per HAQM Linux 2 gratuitamente.

D: In che modo è possibile utilizzare Kernel Live Patching su HAQM Linux 2?

Le patch live del kernel sono fornite da HAQM e possono essere utilizzate con il gestore di pacchetti yum e le utility di HAQM Linux 2 e della Gestione patch di AWS Systems Manager. Ogni patch live del kernel viene fornita come pacchetto RPM. Kernel Live Patching è attualmente disattivata per impostazione predefinita su HAQM Linux 2. È possibile utilizzare il plugin yum disponibile per abilitare e disabilitare Kernel Live Patching. È quindi possibile utilizzare i flussi di lavoro esistenti nella utility yum per applicare le patch di sicurezza, incluse le patch live del kernel. Inoltre, è possibile utilizzare la utility della linea di comando kpatch per enumerare, applicare e abilitare/disabilitare le patch live del kernel.

• "sudo yum install -y yum-plugin-kernel-livepatch" installa il plugin yum per la funzionalità di live patching del kernel su HAQM Linux.
• "sudo yum kernel-livepatch enable -y" abilita il plugin.
• "sudo systemctl enable kpatch.service" abilita il servizio kpatch, l'infrastruttura di live patching del kernel utilizzata su HAQM Linux.
• "sudo amazon-linux-extras enable livepatch" aggiunge gli endpoint del repository live patch del kernel.
• "yum check-update kernel" mostra l'elenco dei kernel disponibili da aggiornare.
• "yum updateinfo list" elenca gli aggiornamenti di sicurezza disponibili.
• "sudo yum update --security" installa le patch disponibili che includono le patch live del kernel disponibili come correzioni di sicurezza.
• "kpatch list" elenca tutte le patch live del kernel caricate.

D: La Gestione patch di AWS Systems Manager supporta l'applicazione di patch live?

Sì. È possibile utilizzare la Gestione patch di AWS SSM per automatizzare l'applicazione delle patch live del kernel senza la necessità di un riavvio immediato quando la patch è disponibile come patch live. Consulta la documentazione relativa alla Gestione patch di SSM per delle nozioni di base.

D: Dove si possono reperire dettagli sulle patch di sicurezza fornite tramite Kernel Live Patching?

AWS pubblica dettagli sulle patch live del kernel per correggere le vulnerabilità di sicurezza sull'HAQM Linux Security Center.

D: Ci sono delle restrizioni all'uso di Kernel Live Patching?

Quando si applica una patch live del kernel su HAQM Linux 2, non è possibile eseguire contemporaneamente l'ibernazione o utilizzare strumenti di debug avanzati, come SystemTap, kprobes, strumenti basati su eBPF, e accedere ai file di output ftrace utilizzati dall'infrastruttura di live patching del kernel.

D: Come si risolvono i problemi che possono verificarsi durante l'applicazione delle patch live del kernel ad HAQM Linux 2?

Se riscontri problemi con una patch live del kernel, disabilita la patch e informa il Supporto AWS o gli ingegneri di HAQM Linux tramite un post sui forum AWS.

D: Kernel Live Patching su HAQM Linux 2 elimina la necessità di riavvii per applicare completamente le patch di sicurezza?

Kernel Live Patching su HAQM Linux 2 non elimina completamente la necessità di riavviare il sistema operativo, ma offre una significativa riduzione dei riavvii per risolvere problemi di sicurezza importanti e critici al di fuori delle finestre di manutenzione pianificate. Ogni kernel Linux su HAQM Linux 2 riceverà patch attive per un massimo di circa 3 mesi dopo il rilascio di un kernel HAQM Linux. Dopo ogni trimestre, è necessario riavviare il sistema operativo nella versione più recente del kernel HAQM Linux per continuare a ricevere le patch live del kernel.

D: Su quali istanze EC2 e ambienti on-premise è supportata Kernel Live Patching con HAQM Linux 2?

Kernel Live Patching su HAQM Linux 2 è supportata su tutte le piattaforme x86_64 (AMD/Intel a 64 bit) su cui è supportato HAQM Linux 2. Questo include tutte le istanze HVM EC2, VMware Cloud su AWS, VMware ESXi, VirtualBox, KVM, Hyper-V e KVM. Le piattaforme basate su ARM non sono attualmente supportate.

D: AWS continuerà a fornire patch regolari ("non live") per gli aggiornamenti del sistema operativo forniti con le patch live del kernel?

Sì, AWS continuerà a fornire patch normali per tutti gli aggiornamenti del sistema operativo. In linea di massima, verranno fornite contemporaneamente sia le patch live normali che quelle del kernel.

D: Cosa succede se viene eseguito un riavvio su sistemi HAQM Linux 2 a cui è stata applicata una patch live del kernel?

Per impostazione predefinita, eseguendo un riavvio, le patch live del kernel vengono sostituite con normali equivalenti di patch "non live". È anche possibile eseguire riavvii senza sostituire le patch live del kernel con patch normali. Per ulteriori informazioni, consulta la documentazione di Kernel Live Patching per HAQM Linux 2.

D: Kernel Live Patching influisce sulla compatibilità ABI di HAQM Linux 2?

Kernel Live Patching su HAQM Linux 2 non modifica la compatibilità ABI del kernel di HAQM Linux 2.

D: Come si fa a ricevere assistenza premium per i problemi che possono verificarsi durante l'applicazione delle patch live del kernel?

I piani Business ed Enterprise per il Supporto AWS includono il supporto premium per tutte le funzionalità di HAQM Linux, compresa Kernel Live Patching. AWS supporta solo le patch live del kernel fornite da AWS e consiglia di contattare il fornitore per problemi con soluzioni di patch live del kernel di terze parti. Inoltre, AWS consiglia di utilizzare una sola soluzione di patch live del kernel su HAQM Linux 2.

D: In che modo verranno indicate le patch live del kernel nell'HAQM Linux Security Center?

Per ogni patch live del kernel apparirà una riga dedicata negli elenchi dell'HAQM Linux Security Center. La voce sarà identificata come, ad esempio, "ALASLIVEPATCH- <datestamp>" e il nome del pacchetto apparirà come "kernel-livepatch-<kernel-version>".

D: Per quanto tempo un kernel HAQM Linux riceve patch live?

Una versione del kernel riceverà patch live per circa 3 mesi. HAQM Linux fornirà patch live del kernel per gli ultimi 6 kernel rilasciati. Occorre tener presente che Kernel Live Patching sarà supportato solo sul kernel predefinito rilasciato su HAQM Linux 2. Il Kernel di nuova generazione negli Extra non riceverà le patch live del kernel.

Per scoprire se l'attuale kernel Linux continua a ricevere patch live o meno e quando termina la finestra di supporto, utilizza il seguente comando yum:

"yum kernel-livepatch supported"

D: Quali sono i flussi di lavoro yum supportati per Kernel Live Patching?

Il plugin yum per il live patching del kernel supporta tutti i flussi di lavoro normalmente supportati nella utility di gestione dei pacchetti yum. Ad esempio, "yum update", "yum update kernel", "yum update —security", "yum update all".

D: Le patch live del kernel sono firmate?

Gli RPM delle patch live del kernel sono firmati tramite chiavi GPG. Tuttavia, i moduli del kernel non sono attualmente firmati.