Perguntas frequentes sobre o HAQM Linux 2

P: O que é o HAQM Linux 2?

O HAQM Linux 2 corresponde a um sistema operacional do HAQM Linux que fornece um ambiente moderno para aplicações com os aprimoramentos mais recentes da comunidade Linux e oferece suporte de longo prazo. Além das imagens de máquina da HAQM (AMI) e dos formatos de imagem de contêiner, o HAQM Linux 2 está disponível como uma imagem de máquina virtual para desenvolvimentos e testes on-premises. Isso possibilita que você desenvolva, teste e certifique suas aplicações com facilidade e direto do ambiente de desenvolvimento local.

P: Quando o suporte para o HAQM Linux 2 será encerrado?

O fim do suporte do HAQM Linux 2 (fim da vida útil, ou EOL) será em 30/06/2026.

P: Quais são as diferenças entre o HAQM Linux 2 e o HAQM Linux 2023?

Consulte a documentação para saber mais sobre as principais diferenças entre essas distribuições.

P: Quais são os benefícios do uso do HAQM Linux 2?

O HAQM Linux 2 oferece suporte aos recursos mais recentes para instâncias do HAQM Elastic Compute Cloud (HAQM EC2) e inclui pacotes que habilitam a fácil integração com a AWS. Ele é otimizado para uso no HAQM EC2 com uma versão mais recente e aperfeiçoada do kernel Linux. Como resultado, diversas workloads de clientes apresentam melhor performance no HAQM Linux 2. O HAQM Linux 2 está disponível como imagens de máquinas virtuais on-premises, permitindo desenvolvimentos e testes locais.

P: Quais workloads ou casos de uso são compatíveis com o HAQM Linux 2?

O HAQM Linux 2 é a melhor opção para uma ampla variedade de workloads virtualizadas e conteinerizadas, como bancos de dados, análises de dados, aplicações de linha de negócios, aplicações para Web e para a área de trabalho, e muitas outras em contextos de produção. Ele também está disponível para uso em instâncias de bare metal do EC2 tanto como sistema operacional de bare metal quanto como host de virtualização.

P: Quais são os principais componentes do HAQM Linux 2?

Os principais componentes do HAQM Linux 2 são:

1. Um kernel Linux aperfeiçoado para performance no HAQM EC2.
2. Um conjunto de pacotes centrais, incluindo systemd, GCC 7.3, Glibc 2.26 e Binutils 2.29.1, que recebem suporte de longo prazo (LTS, na sigla em inglês) da AWS.
3. Um canal adicional para tecnologias em rápida evolução que, provavelmente, serão atualizadas com frequência e fora do modelo de suporte de longo prazo (LTS).

P: Como o HAQM Linux 2 se diferencia do HAQM Linux AMI?
As principais diferenças entre o HAQM Linux 2 e o HAQM Linux AMI são:

1. O HAQM Linux 2 está disponível como imagens de máquinas virtuais para desenvolvimentos e testes on-premises.
2. O HAQM Linux 2 fornece o serviço systemd e o gerenciador de sistemas em oposição ao sistema Init System V no HAQM Linux AMI.
3. O HAQM Linux 2 está equipado com kernel Linux, biblioteca C, compilador e ferramentas atualizados.
4. O HAQM Linux 2 oferece a capacidade de instalar pacotes de software adicionais por meio de mecanismos extras.

P: Como posso começar a usar o HAQM Linux 2 na AWS?

A AWS fornece uma imagem de máquina da HAQM (AMI) para o HAQM Linux 2, que você pode usar para iniciar uma instância do console do HAQM EC2, do AWS SDK e da CLI. Consulte a documentação do HAQM Linux para obter mais detalhes.

P: Existem custos associados à execução do HAQM Linux 2 no HAQM EC2?

Não. Não há cobranças adicionais pela execução do HAQM Linux 2. As cobranças padrão do HAQM EC2 e da AWS são aplicáveis pela execução de instâncias do HAQM EC2 e outros serviços.

P: Quais tipos de instância do HAQM EC2 são compatíveis com o HAQM Linux 2?

O HAQM Linux 2 oferece suporte a todos os tipos de instância do HAQM EC2 compatíveis com AMIs de HVM. O HAQM Linux 2 não oferece suporte a instâncias mais antigas que requerem a funcionalidade de paravirtualização (PV).

P: O HAQM Linux 2 oferece suporte para aplicações e bibliotecas de 32 bits?

Sim. O HAQM Linux 2 oferece suporte para aplicações e bibliotecas de 32 bits. Se você estiver executando uma versão do HAQM Linux 2 lançada antes de 4/10/2018, poderá executar o comando “yum upgrade” para obter o suporte completo de 32 bits.  

P: O HAQM Linux 2 é equipado com uma área de trabalho de interface gráfica do usuário (GUI, na sigla em inglês)?
Sim. O ambiente de área de trabalho MATE é disponibilizado como um extra no HAQM Linux 2. O HAQM Workspaces fornece áreas de trabalho em nuvem baseadas no HAQM Linux 2 com uma GUI. Você pode aprender mais aqui .

P: É possível visualizar o código-fonte dos componentes do HAQM Linux 2?

Sim. A ferramenta yumdownloader --source no HAQM Linux 2 fornece acesso ao código-fonte para diversos componentes.

P: Por que o Python 2.7 ainda faz parte do HAQM Linux 2?

Continuaremos a fornecer patches de segurança essenciais para o Python 2 de acordo com o nosso compromisso de LTS para os pacotes centrais do HAQM Linux 2, embora a comunidade de desenvolvedores do Python tenha declarado o fim da vida útil do Python 2.7 em janeiro de 2020.

P: Devo migrar meu código para o Python 3 e interromper o uso do Python 2.7?

Recomendamos fortemente que nossos clientes instalem o Python 3 em seus sistemas do HAQM Linux 2 e migrem seus códigos e suas aplicações para o Python 3.

P: O HAQM Linux 2 está interrompendo o uso do Python 2.7?

Não existem planos para alterar o interpretador Python padrão. Nossa intenção é manter o Python 2.7 como padrão durante toda a vida útil do HAQM Linux 2. Faremos backport de correções de segurança para nossos pacotes do Python 2.7, conforme necessário.

P: Por que o HAQM Linux 2 não realiza a migração do Python 2.7 para o gerenciador de pacotes “yum” ou migra para o DNF, que é baseado no Python 3?

Durante uma versão de LTS do sistema operacional, o risco de fazer alterações fundamentais, substituir ou adicionar outro gerenciador de pacotes é extremamente alto. Portanto, ao planejar nossa migração do Python 3 para o HAQM Linux, decidimos fazer isso através da delimitação de uma liberação principal, em vez de fazê-la no HAQM Linux 2. Essa é uma abordagem compartilhada por outras distribuições Linux baseadas em RPM, mesmo aquelas sem compromissos de LTS.

P: Como o kernel 5.10 se difere do kernel 4.14?

O kernel 5.10 introduz diversos recursos e melhorias de performance, incluindo otimizações para processadores Ice Lake da Intel e Graviton 2 com a finalidade de impulsionar as instâncias do EC2 de última geração. 

Do ponto de vista da segurança, os clientes se beneficiam da VPN WireGuard, que ajuda a configurar uma rede privada virtual eficaz com uma baixa superfície de ataque e permite criptografia com menos sobrecarga. O kernel 5.10 também introduz um recurso de bloqueio do kernel para impedir modificações não autorizadas de imagens do kernel e diversas melhorias de BPF, incluindo a política CO-RE (Compile Once - Run Everywhere).

Os clientes que executam operações intensivas de entrada e de saída se beneficiarão de uma melhor performance de gravação, um compartilhamento mais seguro de anéis io_uring entre processos para a obtenção de operações de entrada e de saída mais rápidas e um suporte ao novo sistema exFAT para aprimoramento da compatibilidade com dispositivos de armazenamento. Com a adição do MultiPath TCP (MPTCP), os clientes com diversas interfaces de rede podem combinar todos os caminhos de rede disponíveis para aumentar o throughput e reduzir as falhas na rede.

P: O que está incluso no suporte de longo prazo para o HAQM Linux 2?

O suporte de longo prazo para o HAQM Linux 2 é aplicável somente aos pacotes centrais e inclui:
1) A AWS fornecerá atualizações de segurança e correções de bugs para todos os pacotes centrais.
2) A AWS manterá a compatibilidade para a Application Binary Interface (ABI) no espaço do usuário para os seguintes pacotes centrais:

elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs e zlib

3) A AWS fornecerá compatibilidade para a Application Binary Interface (ABI) em todos os outros pacotes centrais, a menos que não seja possível fornecer essa compatibilidade por motivos que ultrapassam o controle da AWS.

P: O HAQM Linux 2 mantém a compatibilidade para a ABI no espaço do kernel?
Não. O HAQM Linux 2 não mantém a compatibilidade para a ABI no espaço do kernel. Se houver uma alteração no kernel Linux upstream que prejudique a estabilidade da ABI, suas aplicações que dependem de drivers de kernel de terceiros poderão requerer modificações adicionais.

P: A AWS fará backport de correções de segurança para o HAQM Linux 2?
Sim. Regularmente, a HAQM extrai correções da versão mais recente dos pacotes de software upstream e as aplica à versão do pacote no HAQM Linux 2. Durante esse processo, a HAQM isola a correção de quaisquer outras alterações, garante que as correções não introduzirão efeitos colaterais indesejados e, em seguida, aplica as correções.

P: As políticas de suporte de longo prazo se aplicam aos tópicos extras?
O conteúdo dos tópicos extras está isento da política do HAQM Linux em relação ao suporte de longo prazo e à compatibilidade binária. Os tópicos extras fornecem acesso a uma lista selecionada de tecnologias em rápida evolução e, provavelmente, serão atualizados com frequência. Quando novas versões de pacotes em tópicos extras forem liberadas, o suporte será fornecido somente para os pacotes mais atuais. No decorrer do tempo, essas tecnologias continuarão a amadurecer e a se estabilizar e poderão, eventualmente, ser adicionadas aos repositórios “centrais” do HAQM Linux 2 aos quais as políticas de suporte de longo prazo do HAQM Linux 2 se aplicam.

P: Compilações adicionais do HAQM Linux 2 serão fornecidas após a liberação das compilações do LTS?
Sim. As novas compilações direcionarão para os mesmos repositórios e incluirão o conjunto cumulativo de atualizações de segurança e de recursos para evitar a necessidade de aplicar atualizações pendentes.

P: Onde é possível obter atualizações para o HAQM Linux 2?
As atualizações para o HAQM Linux 2 são fornecidas em um repositório configurado previamente e hospedado em cada região da AWS. Na inicialização de uma nova instância, o HAQM Linux tenta instalar quaisquer atualizações de segurança do espaço do usuário que sejam classificadas como essenciais ou importantes. Também é possível habilitar ou desabilitar a instalação automática de patches de segurança essenciais e importantes no momento da inicialização da instância.

P: Como é possível automatizar a aplicação de patches de segurança no HAQM Linux 2 em grande escala?

O Gerenciador de Patches do AWS Systems Manager funciona com o HAQM Linux 2 para automatizar o processo de aplicação de patches em instâncias do HAQM Linux 2 em grande escala. O Gerenciador de Patches pode verificar se há patches ausentes, ou verificar e instalar patches ausentes em grandes grupos de instâncias. O Gerenciador de Patches do Systems Manager também pode ser usado com a finalidade de instalar patches para atualizações que não estão relacionadas à segurança.

P: Quais opções de suporte premium estão disponíveis para o HAQM Linux 2?
O suporte para o uso do HAQM Linux 2 na HAQM Web Services (AWS) está incluso com a assinatura do AWS Support.

No momento, o AWS Support não abrange o uso on-premises do HAQM Linux 2. O fórum do HAQM Linux 2 e a documentação do HAQM Linux 2 são as principais fontes de suporte para o uso on-premises do HAQM Linux 2. Você pode publicar perguntas, relatar bugs e efetuar solicitações de recursos nos fóruns do HAQM Linux 2.

P: É possível realizar uma atualização sem interrupção do HAQM Linux 2 LTS Candidate 2 para a versão de LTS do HAQM Linux 2?
Sim. É possível realizar uma atualização sem interrupção do HAQM Linux 2 LTS Candidate 2 para o HAQM Linux 2. No entanto, as alterações na compilação final do LTS podem causar falhas na sua aplicação. Recomendamos testar a aplicação em uma nova instalação do HAQM Linux 2 antes de realizar a migração.

P: A AWS oferecerá suporte ao HAQM Linux AMI daqui para frente?

Sim. Para facilitar a migração para o HAQM Linux 2, a AWS fornecerá atualizações de segurança para a última versão do HAQM Linux e para as imagens de contêiner até 31 de dezembro de 2020. Você também pode usar todos os canais de suporte existentes, como o AWS Premium Support e o fórum de discussão do HAQM Linux para continuar para enviar solicitações de suporte.

P: O HAQM Linux 2 é compatível com versões anteriores da versão existente do HAQM Linux AMI?
Devido à inclusão de componentes, como o systemd, no HAQM Linux 2, suas aplicações em execução na versão atual do HAQM Linux podem requerer alterações adicionais para serem executadas no HAQM Linux 2.

P: É possível realizar uma atualização local de uma versão existente do HAQM Linux AMI para o HAQM Linux 2?
Não. Não há suporte para uma atualização local da imagem existente do HAQM Linux para o HAQM Linux 2. Recomendamos testar a aplicação em uma nova instalação do HAQM Linux 2 antes de realizar a migração.

P: É possível realizar uma atualização sem interrupção em instâncias que executam o HAQM Linux AMI para o HAQM Linux 2?
Não. As instâncias que executam o HAQM Linux não serão atualizadas para o HAQM Linux 2 com mecanismos de atualização sem interrupção. Portanto, não há interrupção para as aplicações existentes. Consulte a documentação do HAQM Linux e as ferramentas de migração para obter mais detalhes.

P: Em quais plataformas de virtualização on-premises o HAQM Linux 2 é executado?
No momento, as imagens de máquina virtual do HAQM Linux 2 estão disponíveis nas plataformas de virtualização KVM, Microsoft Hyper-V, Oracle VM VirtualBox e VMware ESXi para o uso em desenvolvimentos e testes. Estamos buscando obter a certificação para essas plataformas de virtualização.

P: Como é possível começar a usar a imagem de máquina virtual do HAQM Linux 2 em meu Ambiente de Desenvolvimento local?
Uma imagem de máquina virtual para cada hipervisor com suporte está disponível para download. Após fazer download da imagem, siga a documentação do HAQM Linux para começar a usar.

P: Existem custos associados à execução do HAQM Linux 2 on-premises?
Não. Não há cobranças adicionais pela execução do HAQM Linux 2 on-premises.

P: É obrigatório ter uma conta da AWS para executar o HAQM Linux 2 on-premises?
Não. Não há necessidade de ter uma conta da AWS para executar o HAQM Linux 2 on-premises.

P: Quais são os requisitos mínimos de sistema para a execução do HAQM Linux 2?
No mínimo, o HAQM Linux 2 precisa de uma máquina virtual de 64 bits com 512 MB de memória, uma CPU virtual e um BIOS emulado.

P: As imagens de VM on-premises do HAQM Linux 2 receberão as atualizações de segurança da AWS?
Sim. A AWS fornecerá atualizações de segurança e correções de bugs para todos os pacotes centrais. Além disso, a AWS manterá a compatibilidade para a Application Binary Interface (ABI) no espaço do usuário para os pacotes centrais.

P: É possível obter suporte pago para imagens de VM on-premises do HAQM Linux 2 com o AWS Support?
Não. No momento, o AWS Support não oferece suporte pago para as VMs do HAQM Linux 2 em execução on-premises. O suporte da comunidade por meio dos fóruns do HAQM Linux 2 é a principal fonte de suporte para responder perguntas e solucionar problemas originados do uso on-premises. A documentação do HAQM Linux 2 fornece orientação para obter máquinas virtuais e contêineres do HAQM Linux 2 que sejam operacionais, bem como para configurar o sistema operacional e instalar aplicações.

P: Como o HAQM Linux avalia CVEs?

O HAQM Linux avalia vulnerabilidades e exposições comuns (CVEs, na sigla em inglês) descobertas com processos internos, analisa os riscos potenciais para seus produtos e toma medidas, como a emissão de um aviso ou de uma atualização de segurança. As CVEs recebem uma pontuação do Common Vulnerability Scoring System (CVSS), que é um método padrão para pontuar e classificar a gravidade das vulnerabilidades. A principal fonte de dados para CVE é o National Vulnerability Database (NVD). O HAQM Linux também reúne inteligência de segurança de outras fontes, como recomendações de fornecedores e relatórios de clientes e pesquisadores.

Saiba mais >>

P: Por que um verificador de segurança relata uma CVE não corrigida em um pacote do HAQM Linux quando um aviso de segurança do HAQM Linux afirma que a CVE foi corrigida nessa versão?

O HAQM Linux, como a maioria das distribuições Linux, realiza regularmente o backport de correções de segurança para versões de pacotes estáveis ​​fornecidas em seus repositórios. Quando esses pacotes são atualizados com um backport, o boletim de segurança do HAQM Linux para o determinado problema listará as versões específicas do pacote nas quais o problema foi corrigido para o HAQM Linux. Os verificadores de segurança que contam com o versionamento dos autores de um projeto às vezes não detectam que uma determinada correção de CVE foi aplicada em uma versão mais antiga. Os clientes podem consultar o HAQM Linux Security Center (ALAS) para obter atualizações sobre os problemas e as correções de segurança.

P: Como o HAQM Linux comunica a gravidade de um problema de segurança?

A segurança do HAQM Linux comunica avisos de segurança que afetam os produtos do HAQM Linux no HAQM Linux Security Center (ALAS). Normalmente, os avisos de segurança incluem o ID do aviso, a gravidade do problema, o ID da CVE, a visão geral do aviso, os pacotes afetados e a correção do problema. As CVEs referenciadas no aviso terão uma pontuação do CVSS (usamos pontuações do CVSSv3, mas as CVEs anteriores a 2018 podem ter uma pontuação do CVSSv2) e um vetor para os pacotes afetados. A pontuação corresponde a um valor decimal entre zero e dez, e as pontuações mais altas indicam uma vulnerabilidade mais grave. O HAQM Linux está alinhado à pontuação da calculadora do CVSSv3 de estrutura aberta para determinar a métrica de base. A classificação é a forma como comunicamos a gravidade dos problemas de segurança aos nossos clientes. Os clientes podem combinar essas classificações com as principais características de seus ambientes para obter uma avaliação de risco mais apropriada.

P: Como os clientes podem se manter atualizados sobre os avisos de segurança do HAQM Linux?

O HAQM Linux oferece avisos de segurança úteis para humanos e para máquinas, nos quais o cliente pode assinar nossos feeds RSS ou configurar ferramentas de verificação para análise de HTML. Os feeds para nossos produtos podem ser encontrados aqui:

HAQM Linux 1 / HAQM Linux 1 RSS
HAQM Linux 2 / HAQM Linux 2 RSS
HAQM Linux 2023 / HAQM Linux 2023 RSS
 

P: O que é o FIPS 140-2?

O Federal Information Processing Standard (FIPS) 140-2 especificava os requisitos de segurança para módulos criptográficos que protegem informações confidenciais. Em setembro de 2020, o Cryptographic Module Validation Program (CMVP) migrou para o FIPS 140-3 e não aceita mais envios do FIPS 140-2 para novos certificados de validação.
Os módulos validados em conformidade com o FIPS 140-2 continuarão sendo aceitos pelas agências federais de ambos os países para a proteção de informações confidenciais (Estados Unidos) ou informações designadas (Canadá) até 21 de setembro de 2026. Terminado esse período, o CMVP colocará todos os módulos validados pelo FIPS 140-2 na lista de histórico. 

P: Como faço para habilitar o FIPS no HAQM Linux 2?

As instruções para habilitar o modo FIPS podem ser encontradas em Habilitar o modo FIPS.

P: O HAQM Linux 2 é validado pelo FIPS? 

Os módulos criptográficos do HAQM Linux 2 (módulos OpenSSL, Libgcrypt, NSS, GnuTLS, Kernel) são validados pelo FIPS 140-2. Para obter mais detalhes, acesse o site do CMVP.

P: O que é o status FIPS do AL2?

P: Como posso manter a conformidade com o FIPS no AL2 após outubro de 2024?

As certificações AL2 FIPS começaram a ser desativadas gradualmente a partir de outubro de 2024. É provável que os módulos validados pelo FIPS do AL2 estejam em status de histórico antes que os módulos criptográficos do AL2023 concluam as validações do FIPS. O Manual de Gerenciamento do Cryptographic Module Validation Program FIPS 140-3 (Seção 4.8) define “Histórico” da seguinte forma: Histórico – As agências podem determinar o risco de continuar usando esse módulo com base em sua própria avaliação de onde e como ele é usado. Para obter mais detalhes, acesse a página da web do CMVP. A AWS recomenda migrar para o AL2023 ou consultar sua equipe de conformidade sobre o uso de módulos validados pelo FIPS do AL2 em status de histórico.

P: Em quais ambientes operacionais os testes do HAQM Linux 2 foram realizados?

Os módulos OpenSSL, NSS, Libgcrypt, Kernel e GnuTLS do AL2 são validados pelo FIPS 140-2 em plataformas Intel e Graviton. Para obter mais detalhes, consulte o site do CMVP.

P: O que é o Extras do HAQM Linux?

O Extras é um mecanismo no HAQM Linux 2 que possibilita o consumo de novas versões do software de aplicações em um sistema operacional estável. O Extras ajuda a atenuar o compromisso entre a estabilidade do sistema operacional e a atualização do software disponível. Por exemplo, no momento, é possível instalar as versões mais recentes do MariaDB em um sistema operacional estável com suporte por cinco anos. Exemplos de Extras incluem tomcat9, memcached 1.5, Corretto 1.0.0_242, Postgresql 13, MariaDB 10.5, Go 1.9, Redis 6.0, R 4, Rust 1.38.0.

P: Como funciona o Extras do HAQM Linux?
O Extras fornece tópicos para a seleção de pacotes de software. Cada tópico contém todas as dependências obrigatórias para que o software seja instalado e funcione no HAQM Linux 2. Por exemplo, o Rust é um tópico do Extras na lista selecionada fornecida pela HAQM. Ele fornece a cadeia de ferramentas e os runtimes para o Rust, a linguagem de programação de sistemas. Este tópico inclui o sistema de compilação cmake para o Rust, o gerenciador de pacotes do Rust cargo -, e a cadeia de ferramentas do compilador baseado em LLVM para o Rust. Os pacotes associados a cada tópico são consumidos com o conhecido processo de instalação do yum.

P: Como é possível instalar um pacote de software do repositório Extras do HAQM Linux?
Os pacotes disponíveis podem ser listados com o comando amazon-linux-extras no shell do HAQM Linux 2. Os pacotes do Extras podem ser instalados com o comando “sudo amazon-linux-extras install”.

Exemplo: $ sudo amazon-linux-extras install rust1

Consulte a documentação do HAQM Linux para obter mais detalhes sobre os conceitos básicos do Extras do HAQM Linux.

P: Os pacotes no Extras serão movidos para os repositórios “centrais” com o suporte de longo prazo?
No decorrer do tempo, as tecnologias em rápida evolução no Extras continuarão a amadurecer e a se estabilizar e poderão ser adicionadas aos repositórios “centrais” do HAQM Linux 2, aos quais as políticas de suporte de longo prazo se aplicam.

P: Quais aplicações de terceiros têm suporte para execução no HAQM Linux 2?

O HAQM Linux 2 tem uma comunidade em rápido crescimento de provedores de software independentes (ISVs, na sigla em inglês), incluindo Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX e muitos outros.

Uma lista completa de aplicações de ISVs com suporte está disponível na página HAQM Linux 2.

Para obter a certificação de sua aplicação com o HAQM Linux 2, entre em contato conosco.

P: O que é o Kernel Live Patching no HAQM Linux 2?

O Kernel Live Patching no HAQM Linux 2 corresponde a um recurso que possibilita a aplicação de correções de segurança e de bugs a um kernel Linux em execução sem a necessidade de reinicialização. A aplicação de patches em tempo real para o kernel do HAQM Linux é disponibilizada aos repositórios de pacotes existentes para o HAQM Linux 2 e pode ser aplicada usando comandos yum regulares, como “yum update —security” quando o recurso for ativado.

P: Quais são os casos de uso do Kernel Live Patching no HAQM Linux 2?

Os casos de uso direcionados ao Kernel Live Patching no HAQM Linux 2 incluem:

• Aplicação de patches de emergência para abordar vulnerabilidades de segurança de alta gravidade e bugs de corrupção de dados sem causar tempo de inatividade para o serviço.
• Aplicação de atualizações do sistema operacional sem a necessidade de aguardar a conclusão de tarefas com execução prolongada, o logout dos usuários ou os intervalos de tempo de reinicialização programados para aplicar as atualizações de segurança.
• Aceleração da implantação de patches de segurança ao eliminar reinicializações contínuas obrigatórias em sistemas altamente disponíveis.

P: Quando a AWS fornece a aplicação de patches do kernel em tempo real?

Normalmente, a AWS fornecerá a aplicação de patches do kernel em tempo real para corrigir CVEs, que são classificadas como essenciais e importantes pela AWS, para o kernel padrão do HAQM Linux 2. As classificações do aviso de segurança essencial ou importante do HAQM Linux, geralmente, são mapeadas para a pontuação do Common Vulnerability Scoring System (CVSS) de sete e de valores superiores. Além disso, a AWS também fornecerá a aplicação de patches do kernel em tempo real para correções de bugs selecionadas para a solução de problemas de estabilidade do sistema e possíveis problemas de corrupção de dados. Pode haver um pequeno número de problemas que não recebem a aplicação de patches do kernel em tempo real, apesar da gravidade, devido a limitações técnicas. Por exemplo, correções que alteram o código de montagem ou modificam assinaturas de funções podem não receber a aplicação de patches do kernel em tempo real. Os kernels no Extras do HAQM Linux 2 e em quaisquer softwares de terceiros que não sejam desenvolvidos e fornecidos pela AWS não receberão a aplicação de patches do kernel em tempo real.

P: Existem custos associados ao uso do Kernel Live Patching no HAQM Linux 2?

Fornecemos a aplicação de patches do kernel em tempo real para o HAQM Linux 2 sem custos.

P: Como faço para usar o Kernel Live Patching no HAQM Linux 2?

A aplicação de patches do kernel em tempo real é fornecida pela HAQM e pode ser consumida com o gerenciador de pacotes yum e com utilitários no HAQM Linux 2 e no Gerenciador de Patches do AWS Systems Manager. Cada aplicação de patches do kernel em tempo real é fornecida como um pacote RPM. No momento, o Kernel Live Patching está desabilitado por padrão no HAQM Linux 2. Você pode usar o plug-in yum disponível para habilitar e desabilitar o Kernel Live Patching. Em seguida, é possível usar os fluxos de trabalho existentes no utilitário yum para aplicar patches de segurança, incluindo a aplicação de patches do kernel em tempo real. Além disso, o utilitário de linha de comando kpatch pode ser usado para enumerar, aplicar e habilitar e desabilitar a aplicação de patches do kernel em tempo real.

• “sudo yum install -y yum-plugin-kernel-livepatch” instala o plug-in yum para a funcionalidade do Kernel Live Patching no HAQM Linux.
• “sudo yum kernel-livepatch enable -y” habilita o plug-in.
• “sudo systemctl enable kpatch.service” habilita o serviço kpatch, a infraestrutura do Kernel Live Patching usada no HAQM Linux.
• “sudo amazon-linux-extras enable livepatch” adiciona os endpoints do repositório de aplicação de patches do kernel em tempo real.
• “yum check-update kernel” exibe a lista de kernels disponíveis para atualização.
• “yum updateinfo list” lista as atualizações de segurança disponíveis.
• “sudo yum update --security” instala os patches disponíveis que incluem a aplicação de patches do kernel em tempo real disponíveis como correções de segurança.
• “kpatch list” para listar todas as aplicações de patches do kernel em tempo real carregadas.

P: O Gerenciador de Patches do AWS Systems Manager oferece suporte para a aplicação de patches em tempo real?

Sim. É possível usar o Gerenciador de Patches do AWS SSM para automatizar a aplicação de patches do kernel em tempo real sem a necessidade de reinicialização imediata quando a aplicação de patches estiver disponível como uma aplicação de patches em tempo real. Acesse a documentação do Gerenciador de Patches do SSM para começar a usar.

P: Onde é possível obter detalhes sobre os patches de segurança fornecidos por meio do Kernel Live Patching?

A AWS publica detalhes sobre a aplicação de patches do kernel em tempo real para a correção de vulnerabilidades de segurança no HAQM Linux Security Center.

P: Há alguma restrição ao uso do Kernel Live Patching?

Ao aplicar um patch do kernel em tempo real no HAQM Linux 2, você não pode executar simultaneamente a hibernação ou usar ferramentas de depuração avançadas, como SystemTap, kprobes e ferramentas baseadas em eBPF. Além disso, não é possível acessar arquivos de saída ftrace usados ​​pela infraestrutura do Kernel Live Patching.

P: Como é possível remediar problemas que podem ocorrer durante a aplicação de patches do kernel em tempo real no HAQM Linux 2?

Se você encontrar problemas com uma aplicação de patches do kernel em tempo real, desabilite a aplicação de patches e informe o AWS Support ou a equipe de engenharia do HAQM Linux com uma publicação nos fóruns da AWS.

P: O Kernel Live Patching no HAQM Linux 2 elimina totalmente a necessidade de reinicializações para a aplicação de patches de segurança?

O Kernel Live Patching no HAQM Linux 2 não elimina totalmente a necessidade de reinicializações do sistema operacional, mas fornece uma redução significativa das reinicializações para a correção de problemas de segurança importantes e essenciais de forma externa às janelas de manutenção planejadas. Cada kernel Linux no HAQM Linux 2 receberá a aplicação de patches em tempo real por aproximadamente três meses após a liberação de um kernel HAQM Linux. Após cada período de três meses, o sistema operacional precisa ser reinicializado no kernel HAQM Linux mais recente para continuar a receber atualizações de patches do kernel em tempo real.

P: Em quais instâncias do EC2 e ambientes on-premises o Kernel Live Patching no HAQM Linux 2 é compatível?

O Kernel Live Patching no HAQM Linux 2 é compatível com todas as plataformas x86_64 (AMD/Intel de 64 bits) em que o HAQM Linux 2 é compatível. Isso inclui todas as instâncias HVM EC2, VMware Cloud na AWS, VMware ESXi, VirtualBox, KVM, Hyper-V e KVM. No momento, as plataformas baseadas em ARM não têm suporte.

P: A AWS continuará a fornecer a aplicação de patches regulares (“sem ser em tempo real”) para as atualizações do sistema operacional equipadas com a aplicação de patches do kernel em tempo real?

Sim. A AWS continuará a fornecer atualizações de patches regulares para todas as atualizações do sistema operacional. Como regra geral, a aplicação de patches regulares e de patches do kernel em tempo real será fornecida ao mesmo tempo.

P: O que acontece se uma reinicialização for executada em sistemas do HAQM Linux 2 que tenham tido a aplicação de patches do kernel em tempo real?

Por padrão, quando uma reinicialização é executada, os patches do kernel em tempo real são substituídos por patches regulares “sem ser em tempo real” equivalentes. Também é possível executar reinicializações sem substituir os patches do kernel em tempo real por patches regulares. Consulte a documentação do Kernel Live Patching no HAQM Linux 2 para obter detalhes.

P: O Kernel Live Patching afeta a compatibilidade da ABI do HAQM Linux 2?

O Kernel Live Patching no HAQM Linux 2 não altera a compatibilidade da ABI do kernel do HAQM Linux 2.

P: Como é possível obter suporte premium para problemas que podem ser encontrados durante a aplicação de patches do kernel em tempo real?

Os planos Business e Enterprise do AWS Support incluem suporte premium para todas as funcionalidades do HAQM Linux, incluindo o Kernel Live Patching. A AWS oferece suporte somente para a aplicação de patches do kernel em tempo real fornecidos pela AWS e recomenda entrar em contato com seu fornecedor se ocorrerem problemas com soluções de terceiros de aplicação de patches do kernel em tempo real. A AWS também recomenda que você use somente uma solução de aplicação de patches do kernel em tempo real no HAQM Linux 2.

P: Como as aplicações de patches do kernel em tempo real serão indicadas no HAQM Linux Security Center?

Uma linha dedicada nas listagens do HAQM Linux Security Center aparecerá para cada aplicação de patches do kernel em tempo real. A entrada terá uma identificação como “ALASLIVEPATCH-<datestamp>” e o nome do pacote aparecerá como “kernel-livepatch-<kernel-version>”.

P: Por quanto tempo um kernel HAQM Linux recebe aplicações de patches em tempo real?

Uma versão do kernel receberá aplicações de patches em tempo real por, aproximadamente, três meses. O HAQM Linux fornecerá aplicações de patches do kernel em tempo real para as últimas seis versões de kernels. Observe que o Kernel Live Patching terá suporte somente no kernel padrão liberado no HAQM Linux 2. O kernel de próxima geração no Extras não receberá a aplicação de patches do kernel em tempo real.

Para descobrir se o kernel Linux atual continua recebendo aplicações de patches em tempo real e quando a janela de suporte termina, use o seguinte comando yum:

“yum kernel-livepatch supported”

P: Quais são os fluxos de trabalho yum compatíveis com o Kernel Live Patching?

O plug-in yum para a aplicação de patches do kernel em tempo real é compatível com todos os fluxos de trabalho que normalmente têm suporte no utilitário de gerenciamento de pacotes yum. Por exemplo: “yum update”, “yum update kernel”, “yum update —security” e “yum update all”.

P: As aplicações de patches do kernel em tempo real são assinadas?

Os RPMs para a aplicação de patches do kernel em tempo real são assinados por meio de chaves GPG. No entanto, os módulos do kernel não estão assinados no momento.