Preguntas frecuentes sobre Amazon Linux 2023

Aspectos generales

Amazon Linux 2023 (AL2023) es una distribución de Linux basada en rpm de propósito general y sucesora de Amazon Linux 2. AL2023 simplifica la planificación de las actualizaciones del sistema operativo. A partir de la versión AL2023, se lanza una nueva versión principal de Amazon Linux cada dos años, que incluye versiones secundarias trimestrales, y viene con cinco años de soporte a largo plazo. Amazon Linux 2023 se integra con los servicios de AWS y está diseñado para implementarse a escala en la nube. De forma predeterminada, las imágenes de contenedores y las AMI de AL2023 se bloquean en una versión específica del repositorio de paquetes, lo que garantiza un comportamiento determinista y simplifica la integración de las actualizaciones del sistema operativo en entornos de implementación e integración continua.

Puede utilizar la página de GitHub de Amazon Linux 2023 o trabajar con su equipo de cuentas para informar de un error o problema.

Se lanza una nueva versión principal cada dos años con un soporte a largo plazo de cinco años. Cada versión consta de dos fases: fase de desarrollo activo (2 años) y fase de mantenimiento (3 años). Durante la fase de desarrollo activo, la versión recibe actualizaciones secundarias trimestrales. Cada versión secundaria consiste en una lista acumulativa de actualizaciones que incluye correcciones de seguridad y de errores, además de características y paquetes nuevos. Durante la fase de mantenimiento, las versiones únicamente reciben actualizaciones de seguridad y correcciones de errores críticos que se publicarán tan pronto como se encuentren disponibles. Puede consultar el estado de cualquier vulnerabilidad de seguridad conocida en la página del Centro de Seguridad AL2023. Cada vez que se lanzan nuevos repositorios, también se lanza una nueva imagen de máquina de Amazon de Linux.

Las versiones principales de Amazon Linux incluirán nuevas características y mejoras de seguridad y rendimiento para toda la pila, incluidos el kernel, la cadena de herramientas, glibc, openssl y el resto de bibliotecas y utilidades del sistema. Las versiones principales de Amazon Linux se basarán parcialmente en la versión actual de la distribución ascendente de Fedora Linux, aunque Amazon puede optar por agregar o sustituir paquetes específicos de otras distribuciones ascendentes distintas de Fedora (por ejemplo, el kernel de Linux se obtiene de las opciones de soporte a largo plazo de kernel.org y se mantiene específicamente para los productos Linux de Amazon). Puede esperar actualizaciones importantes de los paquetes del repositorio que, en ocasiones, no son compatibles con las versiones anteriores. Proporcionaremos una lista completa de los cambios entre las versiones principales. Las versiones secundarias trimestrales incluirán actualizaciones de seguridad, correcciones de errores y nuevas características y paquetes. Entre los ejemplos de cambios en las versiones secundarias se incluyen los tiempos de ejecución de lenguajes más recientes, como PHP, y otros paquetes de software populares, como Ansible y Docker. Durante la fase de mantenimiento, las versiones únicamente reciben actualizaciones de seguridad y correcciones de errores críticos que se publicarán tan pronto como se encuentren disponibles.

Las actualizaciones se proporcionan a través de una combinación de nuevas versiones de AMI (imágenes de máquina de Amazon) y los correspondientes repositorios nuevos. De forma predeterminada, una nueva AMI y el repositorio al que apunta están acoplados, pero es posible que las instancias de Amazon EC2 en ejecución apunten a versiones de repositorio más nuevas a lo largo del tiempo para que las actualizaciones se apliquen en las instancias en ejecución. También se pueden realizar actualizaciones mediante el lanzamiento de nuevas instancias de las AMI más recientes.

AL2023 se fija a una versión específica del repositorio (puede ser cualquier versión principal o secundaria). La AMI de AL2023 expuesta a través de nuestros parámetros SSM será siempre la más reciente y tendrá los últimos paquetes y actualizaciones, incluidas las actualizaciones de seguridad críticas e importantes. Si se lanza una instancia de EC2 mediante la AMI de AL2023 a través del asistente de lanzamiento, siempre dispondrá de las actualizaciones más recientes. Sin embargo, si se lanza una instancia a partir de una AMI más antigua, las actualizaciones no se aplicarán automáticamente y cualquier paquete adicional que se instale como parte del aprovisionamiento se asignará a la versión del repositorio desde el que se creó la AMI más antigua. Esto permite garantizar que haya coherencia entre las versiones de los paquetes y las actualizaciones en todo el entorno, especialmente si se lanzan varias instancias a partir de la misma AMI. Puede aplicar las actualizaciones en función de la programación que mejor se adapte a sus necesidades. También puede aplicar un conjunto específico de actualizaciones en el lanzamiento, ya que estas también se pueden fijar en una versión específica del repositorio. Consulte la documentación para obtener más detalles.

Cada vez que se lanza una nueva versión (versión principal, versión secundaria o una versión de seguridad), también se lanza una nueva imagen de máquina de Amazon (AMI) de Linux.

Cuando se publica una nueva versión de los repositorios de AL2023, todas las versiones anteriores se mantienen disponibles. De forma predeterminada, el complemento para administrar las versiones del repositorio se fijará en la misma versión que se utilizó para crear la AMI. Si necesita controlar las actualizaciones de los paquetes, puede descubrir las versiones del repositorio disponibles para actualizar ejecutando “dnf check-release-update”, y seleccionando una versión mediante la ejecución del comando indicado, “dnf —releasever=version update”. En ese punto, “dnf install” o “dnf upgrade“ solo elegirá los paquetes de la versión del repositorio seleccionada. Si no es preciso controlar las actualizaciones de los paquetes, puede seleccionar la versión “más reciente”, que siempre apuntará a la versión más reciente de los repositorios de AL2023. Si actualmente utiliza Amazon Linux 2, esto restaura el comportamiento heredado en cuanto a las actualizaciones de paquetes que usted y los flujos de trabajo de revisiones existentes podrían esperar.

No en la configuración predeterminada. De forma predeterminada, el complemento para administrar las versiones del repositorio se fijará en la misma versión que se utilizó para crear la AMI, y no se aplicarán actualizaciones de seguridad. Siempre puede cambiar la configuración predeterminada para recibir automáticamente las actualizaciones de los paquetes. También existe la opción de especificar que únicamente se reciban las actualizaciones de seguridad. Consulte la documentación para obtener más detalles.

AWS proporciona una imagen de máquina de Amazon (AMI) para Amazon Linux 2023 que se puede utilizar para lanzar una instancia desde la consola de Amazon EC2, AWS SDK y CLI. Consulte la documentación de Amazon Linux 2023 para obtener más detalles.

Las imágenes de AL2023 se pueden utilizar fuera de AWS. Sin embargo, estas imágenes no están cubiertas por los planes de AWS Support cuando se utilizan fuera de AWS.

No, no se cobra nada más por ejecutar Amazon Linux 2023. Se aplican los cargos estándar de Amazon EC2 y AWS por la ejecución de instancias EC2 de Amazon y otros servicios.

AL2023 es una excelente opción para quienes buscan un sistema operativo Linux de uso general para utilizarlo en AWS. AL2023 está optimizada para Amazon EC2, bien integrada con las características más recientes de AWS, y ofrece una experiencia integrada con varias herramientas específicas de AWS (AWS Systems Manager y AWS CLI). Si actualmente usa una AMI de Amazon Linux (AL1) o Amazon Linux 2 (AL2), debería considerar probar AL2023 ya que combina los beneficios de ambos. Además de ofrecer actualizaciones frecuentes y soporte a largo plazo, Amazon Linux 2023 proporciona una cadencia de lanzamiento predecible, flexibilidad y control sobre las nuevas actualizaciones de software, a la vez que elimina la sobrecarga operativa que supone la creación de políticas personalizadas para cumplir con los requisitos de cumplimiento estándar.

No, AL2023 no incluye extras. En el caso de los paquetes de software de alto nivel, como los tiempos de ejecución del lenguaje, utilizaremos los lanzamientos trimestrales, en los que agregaremos actualizaciones principales y secundarias a los paquetes como paquetes de espacios de nombres separados, además del paquete predeterminado proporcionado en el repositorio. Por ejemplo, la versión predeterminada de Python en Amazon Linux 2023 puede ser la 3.8, pero agregaremos Python 3.9 (python39) como un paquete de espacio de nombres separado cuando esté disponible. Estos paquetes adicionales seguirán de cerca la cadencia de lanzamiento ascendente y el modelo de soporte, a la vez que el administrador de paquetes puede acceder a las políticas de soporte para casos de uso de conformidad y seguridad. Se mantendrá el soporte de los paquetes predeterminados durante todo el ciclo de vida de AL2023.

Puede enviar comentarios sobre Amazon Linux 2023 a través de su representante de AWS designado, los foros de discusión de Amazon Linux o la página de GitHub de Amazon Linux 2023. 

Política de actualizaciones

Las versiones principales (cada dos años) incluirán nuevas características y mejoras de seguridad y rendimiento para toda la pila, incluidos el kernel, la cadena de herramientas, glibc, openssl y todas las demás bibliotecas y utilidades del sistema. Las versiones principales de AL2023 se basarán parcialmente en la versión actual de la distribución ascendente de Fedora Linux, aunque Amazon puede optar por agregar o sustituir paquetes específicos de otras distribuciones ascendentes distintas de Fedora (por ejemplo, el kernel de Linux se obtiene de las opciones de soporte a largo plazo de kernel.org y se mantiene específicamente para los productos Linux de Amazon). Puede esperar actualizaciones importantes de los paquetes del repositorio que, en ocasiones, no son compatibles con las versiones anteriores. Proporcionaremos una lista completa de los cambios entre las versiones principales y podrá realizar la actualización in situ a nivel de paquete.

Las versiones secundarias trimestrales (1.1, 1.2) incluirán actualizaciones de seguridad, correcciones de errores y nuevas características y paquetes. Entre los ejemplos de versiones secundarias se encuentran los tiempos de ejecución de lenguajes más recientes, como PHP, y otros paquetes de software populares, como Ansible y Docker. Las versiones secundarias no introducen cambios que afecten a la compatibilidad de las aplicaciones. Por ejemplo, las versiones predeterminadas de los tiempos de ejecución de los lenguajes se mantendrán estables mientras que las versiones más nuevas de los tiempos de ejecución de los lenguajes se proporcionan en el repositorio como nuevos paquetes.

Las actualizaciones se proporcionan a través de una combinación de nuevas versiones de AMI (imágenes de máquina de Amazon) y los correspondientes repositorios nuevos. De forma predeterminada, una nueva AMI y el repositorio al que apunta están acoplados, pero es posible que las instancias de Amazon EC2 en ejecución apunten a versiones de repositorio más nuevas a lo largo del tiempo para que las actualizaciones se apliquen en las instancias en ejecución. También se pueden realizar actualizaciones mediante el lanzamiento de nuevas instancias de las AMI más recientes.

AL2023 se fija en una versión específica del repositorio. La AMI AL2023 que aparece en el asistente de lanzamiento de EC2 será siempre la más reciente y tendrá los paquetes y actualizaciones más recientes, incluidas las actualizaciones de seguridad críticas e importantes. Si se lanza una instancia de EC2 mediante la AMI de AL2023 a través del asistente de lanzamiento, siempre dispondrá de las actualizaciones más recientes (al igual que la experiencia actual con AL2). Sin embargo, si se lanza una instancia a partir de una AMI más antigua, las actualizaciones no se aplicarán automáticamente y cualquier paquete adicional que se instale como parte del aprovisionamiento se asignará a la versión del repositorio desde el que se creó la AMI más antigua. Esto permite garantizar que haya coherencia entre las versiones de los paquetes y las actualizaciones en todo el entorno, especialmente si se lanzan varias instancias a partir de la misma AMI. Puede aplicar las actualizaciones en función de la programación que mejor se adapte a sus necesidades.

Cuando se publica una nueva versión de los repositorios de AL2023, todas las versiones anteriores se mantienen disponibles. De forma predeterminada, el complemento para administrar las versiones del repositorio se fijará en la misma versión que se utilizó para crear la AMI. Si necesita controlar las actualizaciones de los paquetes, puede descubrir las versiones del repositorio disponibles para actualizar ejecutando “dnf check-release-update”, y seleccionando una versión mediante la ejecución del comando indicado, “dnf —releasever=version update”. En ese punto, “dnf install” o “dnf upgrade“ solo elegirá los paquetes de la versión del repositorio seleccionada. Si no es preciso controlar las actualizaciones de los paquetes, puede seleccionar la versión “más reciente”, que siempre apuntará a la versión más reciente de los repositorios de AL2023. Esto restaura el comportamiento heredado en cuanto a las actualizaciones de paquetes que usted y los flujos de trabajo de revisiones existentes podrían esperar.

Seguridad

Sí. SELinux es un módulo de seguridad que proporciona políticas de control de acceso. Se utiliza ampliamente en el sector para bloquear servidores Linux y protegerlos contra actividades maliciosas. Las principales aplicaciones dentro de AL2023 contienen políticas de SELinux preconfiguradas para ayudarlo a satisfacer sus necesidades de cumplimiento.

AL2023 tendrá SELinux en el modo permisivo de forma predeterminada. Puede cambiar la configuración de SELinux al modo forzado a través de la línea de comandos al ejecutar “setenforce” o al ejecutar este comando al iniciar desde cloud-init userdata. Al reiniciar la instancia, esta recordará y utilizará la configuración de SELinux que se especificó la primera vez, a menos que la cambie. Consulte la documentación de AL2023 para obtener más detalles.

Consulte las notas de lanzamiento de la versión de Amazon Linux 2023 para obtener todos los detalles. Los ejemplos de cambios que se producen entre la versión candidata y la versión disponible con carácter general incluyen el agente de hibernación y las AMI que se registran para iniciarse solo con IMDSv2 (es decir, deshabilitar IMDSv1) de forma predeterminada.

Amazon Linux, al igual que la mayoría de las distribuciones de Linux, envía de forma rutinaria las correcciones de seguridad a las versiones de paquetes estables que se ofrecen en sus repositorios. Cuando estos paquetes se actualicen con un puerto de respaldo, el boletín de seguridad de Amazon Linux correspondiente al problema concreto mostrará las versiones específicas del paquete en las que se solucionó el problema para Amazon Linux. Los escáneres de seguridad que se basan en el control de versiones de los autores de un proyecto a veces no detectan que una corrección de CVE determinada se ha aplicado a una versión anterior. Los clientes pueden consultar el Centro de seguridad de Amazon Linux (ALAS) para ver las actualizaciones sobre problemas y las correcciones de seguridad.

PREGUNTAS FRECUENTES SOBRE FLIPS EN AL2023

La publicación 140-3 del Estándar de procesamiento de la información federal (FIPS) contiene normas y pautas para la protección y el cifrado de datos para los sistemas de computación federales. Fue desarrollado por el Instituto Nacional de Normalización y Tecnología (NIST), el Centro Canadiense de Ciberseguridad (CCCS) y grupos de trabajo del sector para validar la eficacia de los módulos criptográficos. FIPS 140-3 se alinea con la norma ISO/IEC 19790 e introduce nuevas mejoras en los requisitos de seguridad en relación con la norma FIPS 140-2, ahora retirada.

Para habilitar el modo FIPS en AL2023, descargue los paquetes necesarios en su instancia de Amazon EC2 y conéctese a ella para activar el modo FIPS. Para obtener instrucciones detalladas, consulte Habilitar modo FIPS.

Los módulos criptográficos de Amazon Linux 2023 (OpenSSL, NSS, Libgcrypt, Kernel, GnuTLS) se han enviado para la validación FIPS 140-3. Desde el 2 de febrero de 2024, los 5 módulos criptográficos están en la lista de módulos en proceso (MIP) de FIPS. La lista de MIP contiene módulos criptográficos que han completado todas las pruebas de FIPS y están a la espera de la revisión de CMVP y la emisión del certificado. El programa de validación de módulos criptográficos (CMVP) es un esfuerzo conjunto entre el Instituto Nacional de Normalización y Tecnología del Departamento de Comercio y el Centro Canadiense de Ciberseguridad, una sucursal Communications Security Establishment. Visite el sitio web del programa de validación de módulos criptográficos (CMVP) para conocer el estado de FIPS de los módulos criptográficos en AL2023.

Es posible que los clientes puedan usar los módulos criptográficos de AL2023 mientras los módulos estén en la lista de MIP. AWS recomienda que los clientes consulten con su equipo de conformidad para determinar si es aceptable usar los módulos criptográficos de AL2023 para las cargas de trabajo que requieren FIPS y para obtener las aprobaciones cuando sea necesario. 

Nombre del módulo criptográfico Paquetes asociados Estado de validación
Módulo criptográfico OpenSSL de Amazon Linux 2023 OpenSSL 3.0.8 Lista de módulos en proceso
Módulo criptográfico NSS de Amazon Linux 2023 NSS 3.88 Lista de módulos en proceso
Módulo criptográfico Libgcrypt de Amazon Linux 2023 Libgcrypt 1.10.2 Lista de módulos en proceso
Módulo criptográfico Kernel Crypto API de Amazon Linux 2023 Kernel 6.1.38 Lista de módulos en proceso
Módulo criptográfico GnuTLS de Amazon Linux 2023 GnuTLS 3.8.0 Lista de módulos en proceso

OpenSSL, NSS, Libgcyprt, Kernel y GnuTLS de AL2023 se probaron en Intel, AMD y Graviton. Los detalles figurarán en los certificados finales.

Soporte a largo plazo

AL2023 proporciona actualizaciones para los paquetes y mantendrá la compatibilidad dentro de una versión principal para las aplicaciones de los clientes creadas en AL2023. Los paquetes principales, como glibc, openssl, openssh y el administrador de paquetes dnf, reciben soporte durante el ciclo de vida de la versión principal de AL2023. Los paquetes que no formen parte de los paquetes principales recibirán el soporte definido por las fuentes ascendentes. Puede ver el estado de soporte específico y las fechas de los paquetes individuales mediante la ejecución del comando “dnf supportinfo packagename”. La lista completa de paquetes principales se completará durante la versión preliminar. Si desea que se incluyan más paquetes como paquetes principales, comuníquenoslo y lo evaluaremos a medida que recojamos comentarios al respecto. Puede enviar comentarios sobre Amazon Linux 2023 a través de su representante de AWS designado, los foros de discusión de Amazon Linux o la página de GitHub de Amazon Linux 2023.