Amazon Linux 2 常見問答集
一般問題
問:什麼是 Amazon Linux 2?
Amazon Linux 2 是 Amazon Linux 作業系統,為現代應用程式環境提供 Linux 社群的最新增強功能,並提供長期支援。除了 Amazon Machine Images (AMI) 和容器映像格式外,Amazon Linux 2 還可以作為虛擬機器映像,用於內部部署開發和測試,使您可以從本機開發環境輕鬆開發、測試和認證應用程式。
問:對 Amazon Linux 2 的支援何時結束?
Amazon Linux 2 支援結束日期 (生命週期結束或 EOL) 已延長兩年 (2023-06-30 至 2025-06-30),為客戶提供充足的時間移轉至下一版本。
問:Amazon Linux 2 與 Amazon Linux 2023 之間的差異?
如需深入瞭解這些分發版本間的主要差異,請參閱文件。
問:使用 Amazon Linux 2 有哪些優點?
Amazon Linux 2 與 Amazon Linux AMI 類似,其支援最新的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體功能,且包含可與 AWS 輕鬆整合的套件。其針對在 Amazon EC2 中使用最佳化,具備最新且經過調整的 Linux 核心版本。因此,許多客戶工作負載在 Amazon Linux 2 上的效能更佳。Amazon Linux 2 優惠將在 2025 年 6 月 30 日提供支援,且具備安全性與維護更新。Amazon Linux 2 可做為內部部署虛擬機器映像檔使用,支援本機開發與測試。
問:Amazon Linux 2 支援哪些工作負載或使用案例?
Amazon Linux 2 適用於各種虛擬化和容器化工作負載,例如資料庫、資料分析、業務線應用程式、Web 和桌面應用程式等生產環境中的更多功能。其亦可在 EC2 裸機執行個體上,同時做為裸機作業系統和虛擬化主機使用。
問:Amazon Linux 2 由哪些核心元件組成?
Amazon Linux 2 的核心元件包括:
- 針對 Amazon EC2 上的效能進行調整的 Linux 核心。
- 一組核心套件,包括從 AWS 取得長期支援 (LTS) 的 systemd、GCC 7.3、Glibc 2.26、Binutils 2.29.1。
- 一個適用於快速演進技術的額外通道,這些技術可能會頻繁更新,且不包括在長期支援 (LTS) 模型當中。
問:Amazon Linux 2 與 Amazon Linux AMI 之間有哪些差異?
Amazon Linux 2 與 Amazon Linux AMI 之間的主要差異包括:
- Amazon Linux 2 提供長期支援直至 2025 年 6 月 30 日為止。
- Amazon Linux 2 可做為虛擬機器映像檔使用,支援內部部署開發與測試。
- Amazon Linux 2 提供 systemd 服務與系統管理器,而非 Amazon Linux AMI 中的 System V init 系統。
- Amazon Linux 2 隨附更新的 Linux 核心、C 程式庫、編譯器和工具。
- Amazon Linux 2 提供透過額外機制安裝其他軟體套件的功能。
問:如何開始在 AWS 上使用 Amazon Linux 2?
AWS 提供適用於 Amazon Linux 2 的 Amazon Machine Image (AMI),可供您用來從 Amazon EC2 主控台、AWS SDK 和 CLI 啟動執行個體。如需詳細資訊,請參閱 Amazon Linux 文件。
問:在 Amazon EC2 中執行 Amazon Linux 2 是否有任何相關費用?
否,執行 Amazon Linux 2 無須額外收費。標準 Amazon EC2 及 AWS 費用適用於執行 Amazon EC2 執行個體與其他服務。
問:Amazon Linux 2 支援哪些 Amazon EC2 執行個體類型?
Amazon Linux 2 支援所有支援 HVM AMI 的 Amazon EC2 執行個體類型。Amazon Linux 2 不支援需要半虛擬化 (PV) 功能的舊版執行個體。
問:Amazon Linux 2 是否支援 32 位元應用程式和程式庫?
是,Amazon Linux 2 支援 32 位元應用程式和程式庫。若您執行 2018 年 10 月 04日前推出的 Amazon Linux 2 版本,則可執行「yum 升級」取得完整的 32 位元支援。
問:Amazon Linux 2 是否配備「圖形化使用者介面」(GUI) 桌面?
是,MATE 桌面環境提供做為 Amazon Linux 2 的額外功能。Amazon Workspaces 提供具備 GUI 的雲端 Amazon Linux 2 型雲端桌面。您可以在此處進一步了解更多資訊。
問:是否可檢視 Amazon Linux 2 元件的原始程式碼?
是。Amazon Linux 2 中的 yumdownloader 原始程式碼工具提供眾多元件的原始程式碼存取權。
問:為何 Python 2.7 仍是 Amazon Linux 2 的一部分?
儘管上游 Python 社群在 2020 年 1 月已聲明 Python 2.7 生命週期結束,我們將繼續根據 Amazon Linux 2 核心套件的 LTS 承諾,為 Python 2 提供關鍵的安全性修補程式 (直到 2025 年 6 月)。
問:是否應將我的程式碼從 Python 2.7 移轉至 Python 3?
我們強烈建議客戶在其 Amazon Linux 2 系統上安裝 Python 3,並將其程式碼和應用程式移轉至 Python 3。
問:Amazon Linux 2 是否捨棄 Python 2.7?
尚無變更預設 Python 解譯器的計畫。我們旨在保留 Python 2.7 做為 Amazon Linux 2 的預設生命週期。我們將視需要將安全修正程式向後移植至 Python 2.7 套件。
問:為何 Amazon Linux 2 未捨棄 Python 2.7 的「yum」套件管理員,或是改用以 Python 3 為基礎的 DNF?
在作業系統的 LTS 發行期間,對其進行基本變更、更換或新增其他套件管理員的風險極高。因此,在規劃針對 Amazon Linux 的 Python 3 移轉作業時,我們決定跨越主要發行界限而非在 Amazon Linux 2 中操作。此為其他 RMP 型 Linux 分發版本的共用做法,即使是無 LTS 承諾的分發版本亦然。
問:核心 5.10 與核心 4.14 之間有哪些差異?
核心 5.10 提供眾多功能與效能改進,包括針對 Intel Ice Lake 處理器的最佳化,以及採用最新一代 EC2 執行個體技術的 Graviton 2。
從安全性角度來看,客戶可從 WireGuard VPN 中受益,其有助於設定受攻擊面低的有效虛擬私有網路,且支援負擔更少的加密。核心 5.10 還提供核心鎖定功能以防止未經授權修改核心映像檔,此外也提供眾多 BPF 改進,包括 CO-RE (編譯一次 - 隨處運作)。
使用密集型輸入輸出作業的客戶將享有以下優點:寫入效能更佳、在流程之間安全地共用 io_uring 通道以加快輸入輸出作業,以及支援新 exFAT 系統提昇儲存裝置的相容性。具有數種網路介面的客戶可透過加入多路徑 TCP (MPTCP),整合所有可用的網路路徑以提高輸送量並減少網路故障。
長期支援
問:適用於 Amazon Linux 2 的長期支援包含哪些內容?
適用於 Amazon Linux 2 的長期支援僅適用於核心套件,且包含以下內容:
1) AWS 將為核心中的所有套件提供安全性更新和錯誤修正,直到 2025 年 6 月 30 日為止。
2) AWS 將維持核心中下列套件的使用者空間應用程式二進制介面 (ABI) 相容性:
elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs, zlib
3) AWS 將為核心中的其他所有套件提供應用程式二進制介面 (ABI) 相容性,除非由於超出 AWS 控制的原因而無法提供此類相容性。
問:Amazon Linux 2 是否維持核心空間 ABI 相容性?
否,Amazon Linux 2 不會維持核心空間 ABI 相容性。若因上游 Linux 核心發生變化而破壞 ABI 穩定性,仰賴第三方核心驅動程式的應用程式可能需要進行其他修改。
問:AWS 是否向後移植 Amazon Linux 2 的安全修正程式?
是。Amazon 會定期從最新的上游軟體套件版本中取出修正程式,並將其套用至 Amazon Linux 2 中的套件版本。在此流程中,Amazon 會將修正程式與其他所有變更隔離,確保修正程式不會引起非必要的副作用,然後再套用修正程式。
問:長期支援政策是否適用於額外主題?
額外主題的內容不包括在 Amazon Linux 長期支援與二進制相容性政策的適用範圍內。其他主題可存取快速演進的技術專業清單,且可能會經常更新。發行額外主題中套件的新版本時,只會針對最新的套件提供支援。這些技術會隨著時間演進而持續成熟和穩定,最終可能會新增至適用 Amazon Linux 2 長期支援政策的 Amazon Linux 2「核心」儲存庫中。
問:LTS 組建發行後,是否會提供額外的 Amazon Linux 2 組建?
是。新組建會指向相同的儲存庫,且包含累積的安全性和功能更新集,以防止必須套用未完成的更新。
問:可以從哪裡取得 Amazon Linux 2 的更新?
Amazon Linux 2 的更新會透過每個 AWS 區域中託管的預先設定儲存庫提供。在初次啟動新執行個體時,Amazon Linux 會嘗試安裝所有評定為關鍵或重要的使用者空間安全性更新。您也可以在執行個體啟動時,啟用或停用關鍵與重要安全性修補程式的自動安裝。
問:如何在 Amazon Linux 2 上擴展自動化安全性修補程序?
AWS Systems Manager Patch Manager 可與 Amazon Linux 2 搭配使用,自動執行擴展修補 Amazon Linux 2 執行個體的流程。修補程式管理器可以掃描遺漏的修補程式,或掃描缺少的修補程式並安裝至大型執行個體群組。系統管理器修補程式管理器也可以用來安裝非安全性更新的修補程式。
問:Amazon Linux 2 提供哪些付費支援選項?
透過 AWS Support 訂閱,即可在 Amazon Web Services (AWS) 上使用對 Amazon Linux 2 的支援。
AWS Support 目前未涵蓋 Amazon Linux 2 的內部部署使用。Amazon Linux 2 論壇與 Amazon Linux 2 文件為 Amazon Linux 2 內部部署使用的主要支援來源。您可以在 Amazon Linux 2 論壇上發文提問、報告錯誤和提出功能請求。
支援 Amazon Linux 2 LTS Candidate 與 Amazon Linux AMI
問:可否執行 Amazon Linux 2 LTS Candidate 2 至 LTS 版本 Amazon Linux 2 的滾動式升級?
是,您可從 Amazon Linux 2 LTS Candidate 2 滾動式升級至 Amazon Linux 2。不過,最終 LTS 組建的變更可能會導致應用程序損壞。建議您先在全新安裝的 Amazon Linux 2 上測試應用程式,然後再執行移轉。
問:AWS 未來是否支援 Amazon Linux AMI?
是。為了便於移轉至 Amazon Linux 2,AWS 將繼續為最新版本的 Amazon Linux 和容器映像檔提供安全更新,直到 2020 年 12 月 31 日為止。您也可以使用所有現有的支援管道 (例如 AWS Premium Support 和 Amazon Linux 開發論壇) 繼續提交支援請求。
問:Amazon Linux 2 是否向後相容於現有的 Amazon Linux AMI 版本?
Amazon Linux 2 包含 systemd 等元件,因此您在目前版本 Amazon Linux 上執行的應用程式可能需要額外變更才能在 Amazon Linux 2 上執行。
問:可否從現有版本的 Amazon Linux AMI 就地升級至 Amazon Linux 2?
否,不支援從現有的 Amazon Linux 映像檔就地升級至 Amazon Linux 2。建議您先在全新安裝的 Amazon Linux 2 上測試應用程式,然後再執行移轉。
問:可否在執行 Amazon Linux AMI 的執行個體上,滾動式升級至 Amazon Linux 2?
否,系統不會採用滾動式升級機制,將執行 Amazon Linux 的執行個體升級至 Amazon Linux 2。因此,現有的應用程式不會中斷。如需關於移轉工具的詳細資訊,請參閱 Amazon Linux 文件。
內部部署使用
問:Amazon Linux 2 會在哪些內部部署虛擬化平台上執行?
Amazon Linux 2 虛擬機器映像檔目前可用於 KVM、Microsoft Hyper-V、Oracle VM VirtualBox,以及適用於開發與測試的 VMware ESXi 虛擬化平台。我們正在為這些虛擬化平台進行認證。
問:如何開始在本機開發環境中使用 Amazon Linux 2 虛擬機器映像檔?
每個受支援 Hypervisor 的虛擬機器映像檔皆已可供下載。下載映像檔後,請遵循 Amazon Linux 文件開始使用。
問:內部部署執行 Amazon EC2 是否有任何相關費用?
否,內部部署執行 Amazon Linux 2 無須額外收費。
問:內部部署執行 Amazon Linux 2 是否需要具有 AWS 帳戶?
否,內部部署執行 Amazon Linux 2 無需 AWS 帳戶。
問:執行 Amazon Linux 2 的最低系統需求為何?
Amazon Linux 2 的最低系統需求為配備 512 MB 記憶體、1 個虛擬 CPU 和一個模擬 BIOS 的 65 位元虛擬機器。
問:Amazon Linux 2 的內部部署虛擬機器映像檔是否會從 AWS 取得安全性更新?
是,AWS 將為核心中的所有套件提供安全性更新和錯誤修正,直到 2025 年 6 月 30 日為止。此外,AWS 將維持核心中下列套件的使用者空間應用程式二進制介面 (ABI) 相容性。
問:可否透過 AWS Support 取得 Amazon Linux 2 內部部署虛擬機器映像檔的付費支援?
否,目前 AWS Support 未針對內部部署執行的 Amazon Linux 2 虛擬機器提供付費支援。透過 Amazon Linux 2 論壇提供的社群支援,是回答問題和解決內部部署使用問題的主要支援來源。Amazon Linux 2 文件針對 Amazon Linux 2 虛擬機器與容器運作、設定作業系統和安裝應用程式,提供相關指引。
Amazon Linux 安全
問:Amazon Linux 如何評估 CVE?
Amazon Linux 會評估透過其內部流程發現的常見漏洞和入侵程式 (CVE),預估其產品的潛在風險並採取行動,例如發出安全性更新或建議。系統會為 CVE 指定常見漏洞評分系統 (CVSS) 分數,其為針對漏洞嚴重性評分與評等的標準方式。CVE 資料的主要來源為「國家漏洞資料庫」(NVD)。Amazon Linux 還會收集其他來源的安全性情報,例如供應商建議以及客戶和研究人員的報告。
問:Amazon Linux 安全建議已宣告將在該版本中修正 CVE,為何安全性掃描工具仍在 Amazon Linux 套件中報告未修正的 CVE?
Amazon Linux 與大多數 Linux 發行版本一樣,經常將安全修正程式向後移植至其儲存庫中的付費穩定套件版本。若透過向後移植更新這些套件,特定問題的 Amazon Linux 安全佈告欄將會列出已修正 Amazon Linux 問題的特定套件版本。仰賴專案作者版本控制的安全性掃描工具,有時不會發現到已在舊版本中套用的指定 CVE 修正程式。客戶可以參閱 Amazon Linux 安全中心 (ALAS),瞭解關於安全性問題和修正程式的更新。
問:Amazon Linux 如何傳達安全性問題的嚴重程度?
Amazon Linux 安全會在 Amazon Linux 安全中心 (ALAS) 傳達會影響 Amazon Linux 產品的安全建議。安全建議通常包括「建議 ID」、問題嚴重性、CVE ID、建議概觀、受影響的套件以及問題修正。建議中參照的 CVE 將具有 CVSS 分數 (我們採用 CVSSv3 分數,但早於 2018 年的 CVE 可能會具有 CVSSv2 分數),以及受影響套件的向量。分數為 0 至 10 之間的小數值,分數越高表示漏洞更嚴重。Amazon Linux 會與開放式架構 CVSSv3 計算器分數保持一致,以判斷基礎指標。評等是我們向客戶傳達安全問題嚴重性的一種方式。客戶可以將這些評等與其環境的關鍵特性整合,以執行更適當的風險評估。
問:客戶如何隨時掌握 Amazon Linux 的最新安全建議?
Amazon Linux 提供人機可用的安全建議,可供客戶訂閱我們的 RSS 摘要或設定掃描工具以剖析 HTML。您可在此處找到我們的產品摘要:
Amazon Linux 1 / Amazon Linux 1 RSS
Amazon Linux 2 / Amazon Linux 2 RSS
Amazon Linux 2023 / Amazon Linux 2023 RSS
AL2 FIPS 常見問答集
問:什麼是 FIPS 140-2?
美國聯邦資訊處理標準 (Federal Information Processing Standard, FIPS) 第 140-2 號公報中,具體說明了密碼模組的安全要求,以保護敏感資訊。2020 年 9 月,加密模組驗證計劃 (Cryptographic Module Validation Program, CMVP) 移至了 FIPS 140-3,且不再接受 FIPS 140-2 的新驗證憑證提交。
在 2026 年 9 月 21 日之前,兩國聯邦機構將繼續接受經驗證符合 FIPS 140-2 的模組,以保護敏感資訊 (美國) 或指定資訊 (加拿大)。此後,CMVP 將把所有透過 FIPS 140-2 驗證的模組列入歷史清單。
問:如何在 Amazon Linux 2 上啟用 FIPS?
您可以在啟用 FIPS 模式中找到啟用 FIPS 模式的說明。
問:Amazon Linux 2 FIPS 是否已驗證?
Amazon Linux 2 加密模組 (OpenSSL,Libgcrypt,NSS,GnuTLS,Kernel 模組) 已經過 FIPS 140-2 驗證。如需詳細資訊,請參閱 CMVP 網站。
問:什麼是 AL2 FIPS 狀態?
加密模組名稱 | 相關套件 | 狀態 | 認證編號 | 認證到期日 |
OpenSSL | openssl1.0.2k | 作用中 | 4548 | 2024-10-22 |
Libgcrypt | libgcrypt-1.5 | 作用中 | 3618 | 2025-02-18 |
NSS | nss-softokn-3.36/nss-softokn-freebl-3.36. |
作用中 | 4565 | 2025-04-19 |
GnuTLS | gnutls-3.3 | 作用中 | 4472 | 2025-04-19 |
Kernel Crypto API | kernel-4.14 | 作用中 | 4593 | 2025-09-13 |
問:2024 年 10 月之後,我該如何才能在 AL2 上符合 FIPS 標準?
AL2 FIPS 認證將從 2024 年 10 月開始逐步淘汰。在 AL2023 密碼模組完成 FIPS 驗證之前,AL2 FIPS 驗證模組很可能就已處於歷史狀態。AWS 建議您移轉至 AL2023,或諮詢合規團隊,瞭解更多使用歷史狀態 AL2 FIPS 驗證模組的資訊。
問:Amazon Linux 2 在哪些作業環境中進行了測試?
AL2 OpenSSL、NSS、libgcyprt、Kernel 和 GNUTL 已在 Intel 和 Graviton 上通過 FIPS 140-2 驗證。如需詳細資訊,請參閱 CMVP 網站。
Amazon Linux 額外功能
問:什麼是 Amazon Linux 額外功能?
額外功能為 Amazon Linux 2 的一種機制,可在穩定的作業系統上使用新版本的應用程式軟體,且在 2025 年 6 月 30 日前皆受到支援。額外功能有助於減輕作業系統穩定性與可用軟體新鮮度之間的妥協程度。例如,您現可在享有五年支援的穩定作業系統上,安裝更新版本的 MariaDB。額外功能範例包括 Ansible 2.4.2、Memcached 1.5、Nginx 1.12、Postgresql 9.6、MariaDB 10.2、Go 1.9、Redis 4.0、R 3.4、Rust 1.22.1。
問:Amazon Linux 額外功能如何運作?
額外功能提供選取軟體服務包的主題。每個主題皆包含軟體在 Amazon Linux 2 上安裝和運作所需的所有相依性。例如,Rust 是 Amazon 所提供策劃清單中的額外主題。其為系統程式設計語言 Rust 提供工具鏈和執行期。本主題包括 Rust 的 cmake 建置系統、cargo-rust 套件管理器,以及適用於 Rust 的 LLVM 編譯器工具鏈。與每個主題關聯的套件皆會用於已知的 yum 安裝流程。
問:如何從 Amazon Linux 額外功能儲存庫安裝軟體套件?
可透過 Amazon Linux 2 Shell 中的 amazon-linux-extras 命令,列出可用的套件。可使用「sudo amazon-linux-extras install」命令安裝額外功能的套件。
範例:$ sudo amazon-linux-extras install rust1
如需關於開始使用 Amazon Linux 額外功能的詳細資訊,請參閱 Amazon Linux 文件。
問:額外功能中的套件是否會移至具有長期支援的「核心」?
這些快速發展的技術會隨著時間演進而持續成熟和穩定,且可能會新增至適用長期支援政策的 Amazon Linux 2「核心」。
ISV 支援
問:支援在 Amazon Linux 2 上執行哪些第三方應用程式?
Amazon Linux 2 具有快速成長的獨立軟體開發廠商 (ISV) 社群,包括 Chef、Puppet、Vertica、Trend Micro、Hashicorp、Datadog、Weaveworks、Aqua Security、Tigera、SignalFX 等等。
您可在 Amazon Linux 2 頁面上,找到受支援 ISV 應用程式的完整清單
如要取得 Amazon Linux 2 的應用程式認證,請聯絡我們。
核心即時修補
問:什麼是 Amazon Linux 2 中的核心即時修補?
Amazon Linux 2 中的核心即時修補是一項功能,可將安全性和錯誤修正套用至執行中的 Linux 核心,而無須重新啟動。Amazon Linux 核心的即時修補程式會傳遞至 Amazon Linux 2 的現有套件儲存庫,且在啟動此功能時可使用一般 yum 命令 (例如「yum update —security」)。
問:什麼是 Amazon Linux 2 中的核心即時修補使用案例?
Amazon Linux 2 中的核心即時修補鎖定的使用案例包括:
- 緊急修補程式可解決高嚴重性安全漏洞和資料損毀錯誤,而無服務停機時間。
- 套用作業系統更新,而無須等待完成長時間執行的工作、使用者登出,或是排程重新啟動時段以套用安全性更新。
- 透過消除高可用性系統所需的輪流重新啟動,加快推出安全性修補程式
問:AWS 何時提供核心即時修補程式?
AWS 通常會提供核心即時修補程式,以修正 AWS 評為對於預設 Amazon Linux 2 Kernel 具關鍵和重要地位的 CVE。Amazon Linux 安全建議的關鍵與重要評等通常會對應至 7 分以上的通用漏洞評分系統 (CVSS)。此外,AWS 還將為選定錯誤修正提供核心即時修補程式,以解決系統穩定性問題和潛在的資料損毀問題。在少數情況下,可能會由於技術限制而發生未收到嚴重性相關核心即時修補程式的問題。例如,變更組件程式碼或修改函數簽章的修正程式可能無法接收核心即時修補程式。Amazon Linux 2 額外功能中的核心以及未由 AWS 建置和服務的任何第三方軟體,皆不會收到核心即時修補程式。
問:在 Amazon Linux 2 中使用核心即時修補是否需要付費?
我們免費為 Amazon Linux 2 提供核心即時修補程式。
問:如何在 Amazon Linux 2 中使用核心即時修補?
核心即時修補程式是由 Amazon 提供,且可與 Amazon Linux 2 和 AWS Systems Manager Patch Manager 中的 yum 套件管理員一起使用。每個核心即時修補程式皆以 RPM 套件形式提供。依預設,在 Amazon Linux 2 中目前已停用核心即時修補。您可使用提供的 yum 外掛程式,啟用和停用核心即時修補。隨後,您可使用 yum 公用程式中的現有工作流程來套用安全修補程式,包括核心即時修補。此外,kpatch 命令列公用程式可用於列舉、套用以及啟用/停用核心即時修補。
- 「sudo yum install -y yum-plugin-kernel-livepatch」會在 Amazon Linux 上,安裝適用於核心即時修補功能的 yum 外掛程式。
- 「sudo yum kernel-livepatch enable -y」會啟用外掛程式。
- 「sudo systemctl enable kpatch.service」會啟用 kpatch 服務、在 Amazon Linux 中使用的核心即時修補基礎架構。
- 「sudo amazon-linux-extras enable livepatch」新增核心即時修補儲存庫端點。
- 「yum check-update kernel」顯示要更新的可用核心清單。
- 「yum updateinfo list」會列出可用的安全性更新。
- 「sudo yum update --security」會安裝可用的修補程式,其包含提供做為安全修正程式的核心即時修補。
- 「kpatch list」會列出所有已載入的核心即時修補。
問:AWS Systems Manager Patch Manager 是否支援即時修補?
是。若將修補程式提供做為即時修補,您可使用 AWS SSM Patch Manager 來自動套用核心即時修補,而無須立即重新啟動。如要開始使用,請造訪 SSM Patch Manager 文件。
問:可在何處取得透過核心即時修補提供的安全修補程式詳細資訊?
AWS 會在 Amazon Linux 安全中心上發布關於核心即時修補的詳細資訊,以修正安全漏洞。
問:使用核心即時修補是否有任何限制?
在 Amazon Linux 2 中套用核心即時修補時,您無法同時執行休眠狀態,或使用諸如 SystemTap、kprobe、eBPF 工具等進階偵錯工具,以及存取核心即時修補基礎架構所使用的 ftrace 輸出檔案。
問:如何修正將核心即時修補套用至 Amazon Linux 2 時可能發生的問題?
若您遇到核心即時修補的問題,請停用修補程式,並透過 AWS 論壇文章通知 AWS Support 或 Amazon Linux Engineering。
問:Amazon Linux 2 中的核心即時修補是否可以完全消除重新啟動的需求,以完全套用安全修補程式?
Amazon Linux 2 中的核心即時修補並不會完全消除作業系統重新啟動的需求,但可大幅減輕重新啟動作業,以修正規劃維護時段以外的重要與關鍵安全性問題。Amazon Linux 2 中的每個 Linux Kernel 會在 Amazon Linux Kernel 發布後大約 3 個月內,收到即時修補。每隔 3 個月後,作業系統必須重新啟動至最新的 Amazon Linux Kernel,以繼續接收核心即時修修補。
問:使用 Amazon Linux 2 的核心即時修補支援哪些 EC2 執行個體和內部部署環境?
針對支援 Amazon Linux 2 的所有 x86_64 (AMD/Intel 64 位元) 平台,支援 Amazon Linux 2 中的核心即時修補。這包括所有的 HVM EC2 執行個體、VMware Cloud on AWS、VMware ESXi、VirtualBox、KVM、Hyper-V 和 KVM。目前不支援以 ARM 為基礎的平台。
問:AWS 是否會繼續為具有核心即時修補的作業系統更新,提供定期 (「非即時」) 修補?
是,AWS 將繼續為所有作業系統更新提供定期修補。根據一般規則,將同時提供一般與核心即時修補。
問:若在已完成核心即時修補的 Amazon Linux 2 系統上執行重新啟動,則會發生什麼事?
依預設,執行重新啟動時,核心即時修補會由一般「非即時」修補程式同等項目所取代。您也可以執行重新啟動,而無須將核心即時修補替換為一般修補。如需詳細資訊,請參閱 Amazon Linux 2 核心即時修補文件。
問:核心即時修補是否會影響 Amazon Linux 2 的 ABI 相容性?
Amazon Linux 2 中的核心即時修補並不會變更 Amazon Linux 2 的核心 ABI 相容性。
問:如何針對套用核心即時修補時可能遇到的問題,取得付費支援?
AWS Support 的商業和企業計劃包括 Amazon Linux 所有功能的付費支援 (含核心即時修補)。AWS 僅支援 AWS 提供的核心即時修補,建議您針對第三方核心即時修補解決方案的問題與供應商聯絡。此外,AWS 建議您在 Amazon Linux 2 上僅使用一個核心即時修補解決方案。
問:Amazon Linux 安全中心將如何指示核心即時修補?
Amazon Linux 安全中心清單中的專用列會針對每個核心即時修補顯示。此項目將具有識別碼 (例如「ALASLIVEPATCH-<datestamp>」),而套件名稱會顯示為「kernel-livepatch-<kernel-version>」。
問:Amazon Linux Kernel 接收即時修補成視需要多長時間?
核心版本將在大約 3 個月期間取得即時修補。Amazon Linux 將為最近發行的 6 個核心提供核心即時修補。請注意,僅有在 Amazon Linux 2 中發行的預設核心才支援核心即時修補。額外功能中的下一代核心將不會接收核心即時修補。
如要瞭解目前的 Linux 核心是否會繼續接收即時修補,以及支援期間何時結束,請使用下列 yum 命令:
‘yum kernel-livepatch supported’
問:核心即時修補支援的 yum 工作流程為何?
核心即時修補 yum 外掛程式支援所有通常在 yum 套件管理公用程式中受到支援的工作流程。例如:‘yum update’、‘yum update kernel’、‘yum update —security’、‘yum update all’。
問:是否已簽署核心即時修補?
系統會透過 GPG 金鑰簽署核心即時修補 RPM。但目前尚未簽署核心模組。