Häufig gestellte Fragen zu Amazon Linux 2023

Allgemeines

Amazon Linux 2023 (AL2023) ist eine universelle rpm-basierte Linux-Distribution und ein Nachfolger von Amazon Linux 2. AL2023 vereinfacht die Planung von Betriebssystem-Upgrades. Ab der Version AL2023 erscheint alle zwei Jahre eine neue Hauptversion von Amazon Linux, einschließlich kleinerer vierteljährlicher Releases und es gibt einen Langzeit-Support über fünf Jahre. Amazon Linux 2023 lässt sich in AWS-Services integrieren und ist für die Cloud-Bereitstellung in großem Umfang konzipiert. AL2023-AMIs und Container-Images sind standardmäßig an eine bestimmte Version des Paket-Repositorys gebunden, was ein deterministisches Verhalten sicherstellt und die Integration von Betriebssystem-Updates in Umgebungen mit kontinuierlicher Integration und Bereitstellung vereinfacht.

Sie können die Seite von Amazon Linux 2023 GitHub benutzen oder mit Ihrem Konto-Team zusammenarbeiten, um einen Fehler oder ein Problem zu melden.

Alle zwei Jahre kommt eine neue Hauptversion mit Langzeit-Support über fünf Jahre heraus. Jedes Release umfasst zwei Phasen: die aktive Entwicklungsphase (2 Jahre) und die Wartungsphase (3 Jahre). In der aktiven Entwicklungsphase erhält das Release vierteljährlich kleinere Versions-Updates. Jede Nebenversion ist eine kumulative Liste von Updates, die neben den neuen Funktionen und Paketen auch Sicherheits- und Fehlerbehebungen enthält. Während der Wartungsphase erhält eine Version nur Sicherheitsupdates und kritische Fehlerbehebungen, die veröffentlicht werden, sobald sie verfügbar sind. Sie können den Status jeder bekannten Schwachstelle auf der Seite AL2023 Security Center einsehen. Jedes Mal, wenn wir neue Repositorys herausbringen, werden wir auch ein neues Linux Amazon Machine Image veröffentlichen.

Die Hauptversionen von Amazon Linux enthalten neue Funktionen sowie Sicherheits- und Leistungsverbesserungen im gesamten Stack, einschließlich Kernel, Toolchain, glibc, openssl und aller anderen Systembibliotheken und Dienstprogramme. Hauptversionen von Amazon Linux werden teilweise auf der aktuellen Version der Fedora-Linux-Distribution basieren, wobei Amazon bestimmte Pakete aber auch aus anderen Upstreams als Fedora hinzufügen oder ersetzen kann (z. B. wird der Linux-Kernel aus den Long Term Support Choices von kernel.org bezogen und speziell für Amazons Linux-Produkte gepflegt). Sie sollten von größeren Aktualisierungen für Pakete im Repository ausgehen, die manchmal nicht abwärtskompatibel sind. Wir werden eine vollständige Liste der Änderungen zwischen den Hauptversionen bereitstellen. Die vierteljährlichen Nebenversionen enthalten Sicherheitsupdates, Fehlerbehebungen sowie neue Funktionen und Pakete. Beispiele für Änderungen in den Nebenversionen sind die neuesten Sprach-Runtimes wie PHP und andere beliebte Softwarepakete wie Ansible und Docker. Während der Wartungsphase erhält eine Version nur Sicherheitsupdates und kritische Fehlerbehebungen, die veröffentlicht werden, sobald sie verfügbar sind.

Updates werden über eine Kombination aus neuen AMI-Versionen (Amazon Machine Image) und entsprechenden neuen Repositorys bereitgestellt. Standardmäßig sind ein neues AMI und das Repository, auf das es verweist, gekoppelt, aber Sie können Ihre laufenden Amazon EC2-Instances im Laufe der Zeit auf neuere Repository-Versionen verweisen, um Updates auf laufenden Instances zu ermöglichen. Updates sind auch durch Starten neuer Instances der neuesten AMIs möglich.

AL2023 bindet sich an eine bestimmte Version Ihres Repositorys (dies kann eine beliebige Haupt- oder Nebenversion sein). Das AL2023-AMI, das über unsere SSM-Parameter bereitgestellt wird, ist immer auf dem neuesten Stand und enthält die aktuellsten Pakete und Updates, einschließlich kritischer und wichtiger Sicherheitsupdates. Wenn Sie eine EC2-Instance mit dem AL2023-AMI über den Startassistenten starten, erhalten Sie immer die neuesten Updates. Wenn Sie jedoch eine Instance von einem älteren AMI starten, werden keine Updates automatisch angewendet, und alle zusätzlichen Pakete, die als Teil Ihrer Bereitstellung installiert werden, werden der Repository-Version zugeordnet, aus der das ältere AMI erstellt wurde. Auf diese Weise können Sie sicherstellen, dass die Paketversionen und -aktualisierungen in Ihrer gesamten Umgebung konsistent sind, insbesondere wenn Sie mehrere Instances von demselben AMI starten. Sie können Updates nach einem für Sie geeigneten Zeitplan vornehmen. Sie können beim Start auch einen bestimmten Satz von Updates anwenden, da auch diese an eine bestimmte Repository-Version gebunden werden können. Weitere Details finden Sie in der Dokumentation.

Jedes Mal, wenn wir eine neue Version (Hauptversion, Nebenversion oder eine Sicherheitsversion) herausgeben, veröffentlichen wir auch ein neues Linux Amazon Machine Image (AMI).

Wenn wir eine neue Version der AL2023-Repositorys herausbringen, sind alle früheren Versionen weiterhin verfügbar. Standardmäßig wird das Plug-In zur Verwaltung von Repository-Versionen an dieselbe Version gebunden, die zur Erstellung des AMI verwendet wurde. Wenn Sie Paketaktualisierungen kontrollieren müssen, können Sie die verfügbaren Repository-Versionen ermitteln, auf die aktualisiert werden soll, indem Sie „dnf check-release-update“ ausführen und durch Ausführen des aufgeführten Befehls „dnf -releasever=version update“ eine Version auswählen. Dann wird „dnf install“ oder „dnf upgrade“ nur Pakete aus der ausgewählten Repository-Version auswählen. Wenn Sie die Paketaktualisierungen nicht kontrollieren müssen, können Sie die „neueste“ Version auswählen, die immer auf die neueste Version der AL2023-Repositorys verweist. Wenn Sie derzeit Amazon Linux 2 verwenden, wird damit das alte Verhalten für Paketaktualisierungen wiederhergestellt, das von Ihnen und bestehenden Patch-Workflows vielleicht erwartet wird.

Nicht in der Standardkonfiguration. Standardmäßig wird das Plugin zur Verwaltung von Repository-Versionen an dieselbe Version gebunden, die zur Erstellung des AMI verwendet wurde, und es kommen keine Sicherheitsupdates zur Anwendung. Sie können die Standardkonfiguration jederzeit so ändern, dass Sie automatisch Paketaktualisierungen erhalten. Sie können auch angeben, dass Sie nur Sicherheitsupdates erhalten möchten. Weitere Details finden Sie in der Dokumentation.

AWS stellt ein Amazon Machine Image (AMI) für Amazon Linux 2023 bereit, das Sie zum Starten einer Instance über die Amazon-EC2-Konsole, das AWS SDK und die Befehlszeilenschnittstelle verwenden können. Weitere Informationen finden Sie in der Dokumentation zu Amazon Linux 2023.

AL2023-Images können außerhalb von AWS verwendet werden. Allerdings fallen diese Images nicht unter AWS-Support-Stufen, wenn sie außerhalb von AWS verwendet werden.

Nein, für die Nutzung von Amazon Linux 2023 fallen keine zusätzlichen Kosten an. Für das Ausführen von Amazon EC2-Instances und anderen Services gelten die Standardgebühren für Amazon EC2 und AWS.

AL2023 ist eine großartige Option, wenn Sie nach einem universellen Linux-Betriebssystem für AWS suchen. AL2023 ist für Amazon EC2 optimiert, gut mit den neuesten AWS-Funktionen integriert und bietet eine integrierte Erfahrung mit vielen AWS-spezifischen Tools (AWS Systems Manager und AWS CLI). Wenn Sie derzeit Amazon Linux AMI (AL1) oder Amazon Linux 2 (AL2) verwenden, sollten Sie AL2023 ausprobieren, da es die Vorteile beider Systeme vereint. Amazon Linux 2023 bietet nicht nur häufige Updates und Langzeit-Support, sondern auch eine vorhersehbare Release-Frequenz, Flexibilität und Kontrolle über neue Software-Updates und eliminiert den betrieblichen Aufwand, der mit der Erstellung benutzerdefinierter Richtlinien zur Erfüllung von Standard-Compliance-Anforderungen verbunden ist.

Nein, AL2023 hat keine Extras. Bei Softwarepaketen auf höherer Ebene, wie z. B. Sprachlaufzeiten, werden wir zusätzlich zu dem im Repository bereitgestellten Standardpaket mit den vierteljährlichen Releases größere und kleinere Aktualisierungen zu den Paketen als separate Namespace-Pakete hinzufügen. So kann zum Beispiel die Version 3.8 die Standard-Python-Version in Amazon Linux 2023 sein, aber wir werden Python 3.9 (python39) als separates Namespace-Paket hinzufügen, sobald es verfügbar ist. Diese zusätzlichen Pakete werden sich eng an die Release-Frequenz und das Supportmodell der Upstream-Anbieter halten, und der Paketmanager kann für Compliance- und Sicherheitszwecke auf ihre Supportrichtlinien zugreifen. Die Standardpakete werden während der gesamten Lebensdauer von AL2023 weiter unterstützt.

Feedback zu Amazon Linux 2023 können Sie über Ihren zuständigen AWS-Vertreter, die Amazon Linux Diskussionsforen oder Amazon Linux 2023 GitHub Seite abgeben. 

Aktualisierungsrichtlinie

Die Hauptversionen (alle 2 Jahre) enthalten neue Funktionen sowie Sicherheits- und Leistungsverbesserungen im gesamten Stack, einschließlich Kernel, Toolchain, glibc, openssl und aller anderen Systembibliotheken und Dienstprogramme. Hauptversionen von AL2023 werden teilweise auf der aktuellen Version der Fedora-Linux-Distribution basieren, wobei Amazon bestimmte Pakete aber auch aus anderen Upstreams als Fedora hinzufügen oder ersetzen kann (z. B. wird der Linux-Kernel aus den Long Term Support-Auswahlmöglichkeiten von kernel.org bezogen und speziell für Amazons Linux-Produkte gepflegt). Sie sollten von größeren Aktualisierungen für Pakete im Repository ausgehen, die manchmal nicht abwärtskompatibel sind. Wir stellen Ihnen eine vollständige Liste der Änderungen zwischen den Hauptversionen zur Verfügung, und Sie können ein In-Place-Upgrade auf Paketebene durchführen.

Die vierteljährlichen Nebenversionen (1.1, 1.2) enthalten Sicherheitsupdates, Fehlerbehebungen sowie neue Funktionen und Pakete. Zu den Beispielen für Nebenversionen gehören aktuelle Sprach-Runtimes wie PHP und andere beliebte Softwarepakete wie Ansible und Docker. Nebenversionen bringen keine Änderungen mit sich, die die Anwendungskompatibilität beeinträchtigen. So bleiben beispielsweise die Standardversionen der Sprach-Runtimes stabil, während neuere Versionen von Sprach-Runtimes als neue Pakete in das Repository aufgenommen werden.

Updates werden über eine Kombination aus neuen AMI-Versionen (Amazon Machine Image) und entsprechenden neuen Repositorys bereitgestellt. Standardmäßig sind ein neues AMI und das Repository, auf das es verweist, gekoppelt, aber Sie können Ihre laufenden Amazon EC2-Instances im Laufe der Zeit auf neuere Repository-Versionen verweisen, um Updates auf laufenden Instances zu ermöglichen. Updates sind auch durch Starten neuer Instances der neuesten AMIs möglich.

AL2023 bindet sich an eine bestimmte Version Ihres Repositorys. Das AL2023-AMI, das im EC2-Startasisstenten angezeigt wird, ist immer das neueste und enthält die aktuellsten Pakete und Updates, einschließlich kritischer und wichtiger Sicherheitsupdates. Wenn Sie eine EC2-Instance mit dem AL2023-AMI über den Startassistenten starten, erhalten Sie immer die neuesten Updates (wie bei AL2). Wenn Sie jedoch eine Instance von einem älteren AMI starten, werden keine Updates automatisch angewendet, und alle zusätzlichen Pakete, die als Teil Ihrer Bereitstellung installiert werden, werden der Repository-Version zugeordnet, aus der das ältere AMI erstellt wurde. Auf diese Weise können Sie sicherstellen, dass die Paketversionen und -aktualisierungen in Ihrer gesamten Umgebung konsistent sind, insbesondere wenn Sie mehrere Instances von demselben AMI starten. Sie können Updates nach einem für Sie geeigneten Zeitplan vornehmen.

Wenn wir eine neue Version der AL2023-Repositorys herausbringen, sind alle früheren Versionen weiterhin verfügbar. Standardmäßig wird das Plug-In zur Verwaltung von Repository-Versionen an dieselbe Version gebunden, die zur Erstellung des AMI verwendet wurde. Wenn Sie Paketaktualisierungen kontrollieren müssen, können Sie die verfügbaren Repository-Versionen ermitteln, auf die aktualisiert werden soll, indem Sie „dnf check-release-update“ ausführen und durch Ausführen des aufgeführten Befehls „dnf -releasever=version update“ eine Version auswählen. Dann wird „dnf install“ oder „dnf upgrade“ nur Pakete aus der ausgewählten Repository-Version auswählen. Wenn Sie die Paketaktualisierungen nicht kontrollieren müssen, können Sie die „neueste“ Version auswählen, die immer auf die neueste Version der AL2023-Repositorys verweist. Damit wird das alte Verhalten für Paketaktualisierungen wiederhergestellt, das von Ihnen und bestehenden Patch-Workflows vielleicht erwartet wird.

Sicherheit

Ja. SELinux ist ein Sicherheitsmodul, das Richtlinien zur Zugriffskontrolle bereitstellt. Es ist in der Branche weit verbreitet, um Linux-Server zu sperren und vor bösartigen Aktivitäten zu schützen. Die Hauptanwendungen von AL2023 werden mit vorkonfigurierten SELinux-Richtlinien geliefert, die Sie dabei unterstützen, Ihre Compliance-Anforderungen zu erfüllen.

AL2023 hat SELinux standardmäßig im zulässigen Modus. Sie können die SELinux-Einstellungen über die Befehlszeile in den erzwungenen Modus ändern, indem Sie „setenforce“ ausführen oder indem Sie diesen Befehl beim Start von cloud-init userdata ausführen. Wenn die Instance neu gebootet wird, merkt sie sich die SELinux-Einstellung, die beim ersten Mal angegeben wurde, und verwendet diese, sofern Sie sie nicht ändern. Weitere Details finden Sie in der AL2023-Dokumentation.

Bitte lesen Sie die Release Notes von Amazon Linux 2023 für weitere Details. Beispiele für Änderungen zwischen Release Candidate und GA sind der Hibernation Agent und AMIs, die standardmäßig so registriert werden, dass sie nur mit IMDSv2 gestartet werden (das bedeutet, dass IMDSv1 deaktiviert wird).

Amazon Linux portiert, wie die meisten Linux-Distributionen, routinemäßig Sicherheitskorrekturen auf stabile Paketversionen zurück, die in seinen Repositorys angeboten werden. Wenn diese Pakete mit einem Backport aktualisiert werden, listet der Amazon-Linux-Sicherheitsbericht für das jeweilige Problem die spezifischen Paketversionen auf, in denen das Problem für Amazon Linux behoben wurde. Sicherheitsscanner, die auf die Versionierung durch die Autoren eines Projekts angewiesen sind, erkennen manchmal nicht, dass ein bestimmter CVE-Fix in einer älteren Version angewendet wurde. Kunden können sich im Amazon Linux Security Center (ALAS) über Updates zu Sicherheitsproblemen und -behebungen informieren.

HÄUFIG GESTELLTE FRAGEN ZU AL2023 FIPS

Die FIPS-Publikation 140-3 (Federal Information Processing Standard) enthält Standards und Richtlinien für Datenschutz und Verschlüsselung für Computersysteme des Bundes. Sie wurde vom National Institute of Standards and Technology (NIST), dem Canadian Centre for Cyber Security (CCCS) und Arbeitsgruppen der Industrie entwickelt, um die Wirksamkeit kryptografischer Module zu validieren. FIPS 140-3 entspricht dem ISO/IEC-19790-Standard und führt neue Verbesserungen der Sicherheitsanforderungen im Vergleich zum inzwischen eingestellten FIPS-140-2-Standard ein.

Um den FIPS-Modus in AL2023 zu aktivieren, laden Sie die erforderlichen Pakete auf Ihre Amazon-EC2-Instance herunter und stellen Sie eine Verbindung zu ihr her, um den FIPS-Modus zu aktivieren. Eine ausführliche Anleitung finden Sie in unserem Abschnitt FIPS-Modus aktivieren.

Die kryptografischen Module von Amazon Linux 2023 (OpenSSL, NSS, Libgcrypt, Kernel, GnuTLS) wurden zur FIPS-140-3-Validierung eingereicht. Stand 02.02.2024 sind alle 5 kryptografischen Module auf der FIPS Module in Process (MIP)-Liste aufgeführt. Die MIP-Liste enthält kryptografische Module, die alle FIPS-Tests abgeschlossen haben und auf die CMVP-Überprüfung und Ausstellung des Zertifikats warten. Das Cryptographic Module Validation Program (CMVP) ist eine gemeinsame Initiative des National Institute of Standards and Technology des Handelsministeriums und des Canadian Centre for Cyber Security, einer Zweigstelle des Communications Security Establishment. Bitte besuchen Sie die Website des Cryptographic Module Validation Program (CMVP), um den FIPS-Status der kryptografischen AL2023-Module zu erfahren.

Kunden können möglicherweise die kryptografischen Module von AL2023 verwenden, solange die Module in der MIP-Liste aufgeführt sind. AWS empfiehlt Kunden, sich mit ihrem Compliance-Team in Verbindung zu setzen, um festzustellen, ob die Verwendung von kryptografischen Modulen von AL2023 für ihre FIPS-erforderlichen Workloads akzeptabel ist, und bei Bedarf Genehmigungen einzuholen. 

Name des kryptografischen Moduls Zugeordnete Pakete Validierungsstatus
Kryptografisches Modul für Amazon Linux 2023 OpenSSL OpenSSL 3.0.8 Modules-in-Process-Liste
Kryptografisches Modul für Amazon Linux 2023 NSS NSS 3.88 Modules-in-Process-Liste
Kryptografisches Modul für Amazon Linux 2023 Libgcrypt Libgcrypt 1.10.2 Modules-in-Process-Liste
Kryptografisches Modul für Amazon Linux 2023 Kernel Crypto API Kernel 6.1.38 Modules-in-Process-Liste
Kryptografisches Modul für Amazon Linux 2023 GnuTLS GnuTLS 3.8.0 Modules-in-Process-Liste

AL2023 OpenSSL, NSS, Libgcyprt, Kernel und GnuTLS wurden in Intel, AMD und Graviton getestet. Die Einzelheiten werden auf den Abschlusszertifikaten aufgeführt.

Langzeit-Support

AL2023 bietet Updates für seine Pakete und wird die Kompatibilität innerhalb einer Hauptversion für Kundenanwendungen, die auf AL2023 aufbauen, aufrechterhalten. Kernpakete wie glibc, openssl, openssh und der dnf-Paketmanager werden für die Lebensdauer der Hauptversion von AL2023 unterstützt. Pakete, die nicht zu den Kernpaketen gehören, werden nach den Vorgaben ihre Upstream-Quellen unterstützt. Sie können den spezifischen Support-Status und die Daten der einzelnen Pakete durch Ausführen des Befehls „dnf supportinfo packagename“ einsehen. Die vollständige Liste der Kernpakete wird während der Vorversion fertiggestellt. Wenn Sie weitere Pakete als Kernpakete wünschen, teilen Sie uns dies bitte mit, und wir werden dies im Zuge der Entgegennahme von Feedback prüfen. Feedback zu Amazon Linux 2023 kann über Ihren benannten AWS-Vertreter, das Amazon Linux Diskussionsforum oder die Amazon Linux 2023 GitHub-Seite bereitgestellt werden.