FAQ Amazon Linux 2
Questions d'ordre général
Q. Qu'est-ce qu'Amazon Linux 2 ?
Amazon Linux 2 est un système d'exploitation Amazon Linux qui fournit un environnement d'applications moderne intégrant les dernières améliorations proposées par la communauté Linux ainsi qu'une prise en charge longue durée. Outre les formats Amazon Machine Images (AMI) et image de conteneur, Amazon Linux 2 est disponible sous forme d'image de machine virtuelle pour le développement et les tests sur site, ce qui vous permet de développer, tester et certifier facilement vos applications directement depuis votre environnement de développement local.
Q. À quelle date la prise en charge pour Amazon Linux 2 prendra-t-il fin ?
La date de fin de prise en charge pour Amazon Linux 2 (Fin de Vie ou EOL) a été reportée de deux ans, passant du 30 juin 2023 au 30 juin 2025, afin de donner aux clients suffisamment de temps pour migrer vers la version suivante.
Q. Quelles sont les différences entre Amazon Linux 2 et Amazon Linux 2023 ?
Veuillez consulter la documentation pour en savoir plus sur les principales différences entre ces distributions.
Q. Quels sont les avantages de l'utilisation d'Amazon Linux 2 ?
À l'instar de l'AMI Amazon Linux, Amazon Linux 2 prend en charge les dernières fonctionnalités d'instance Amazon Elastic Compute Cloud (Amazon EC2) et inclut des packages qui permettent une intégration facile avec AWS. Amazon Linux 2 est optimisé pour être utilisé dans Amazon EC2 avec la version du noyau Linux la plus récente et la plus optimisée. Par conséquent, de nombreuses charges de travail clients sont plus performantes sur Amazon Linux 2. Les offres Amazon Linux 2 seront prises en charge jusqu'au 30 juin 2025 avec des mises à jour de sécurité et de maintenance. Amazon Linux 2 est disponible sous forme d'images de machine virtuelle sur site, ce qui permet un développement et des tests locaux.
Q. Quels sont les charges de travail ou les cas d'utilisation pris en charge par Amazon Linux 2 ?
Amazon Linux 2 convient à une grande variété de charges de travail virtualisées et conteneurisées, telles que les bases de données, les analyses de données, les applications de secteur d’activité, les applications Web et de bureau, etc. et bien plus encore dans des contextes de production. Il peut également être utilisé sur les instances Bare Metal EC2 à la fois en tant que système d'exploitation en matériel nu et en tant qu’hôte de virtualisation.
Q. Quels sont les composants de base d'Amazon Linux 2 ?
Les composants de base d'Amazon Linux 2 sont les suivants :
- Un noyau Linux optimisé pour améliorer les performances sur Amazon EC2.
- Un ensemble de packages de base, dont systemd, GCC 7.3, Glibc 2.26, Binutils 2.29.1, qui bénéficient d'une prise en charge à long terme (LTS) de la part d'AWS.
- Un canal supplémentaire pour les technologies en évolution rapide qui sont susceptibles d'être mises à jour fréquemment et en dehors du modèle prise en charge à long terme (LTS).
Q. En quoi Amazon Linux 2 diffère-t-il de l'AMI Amazon Linux ?
Les principales différences entre Amazon Linux 2 et Amazon Linux AMI sont les suivantes :
- Amazon Linux 2 fera l'objet d'une prise en charge à long terme, jusqu'au 30 juin 2025.
- Amazon Linux 2 est disponible sous forme d'images de machine virtuelle pour le développement et les tests sur site.
- Amazon Linux 2 fournit le service systemd et le gestionnaire de systèmes contrairement au système d'initialisation System V dans Amazon Linux AMI.
- Amazon Linux 2 est fourni avec un noyau Linux mis à jour, une bibliothèque C, un compilateur et des outils.
- Amazon Linux 2 permet d'installer des packages logiciels supplémentaires via le mécanisme des extras.
Q. Comment puis-je commencer à utiliser Amazon Linux 2 sur AWS ?
AWS fournit une Amazon Machine Image (AMI) pour Amazon Linux 2 que vous pouvez utiliser pour lancer une instance à partir de la console Amazon EC2, du kit SDK AWS et de l'AWS CLI. Veuillez consulter la documentation d'Amazon Linux pour plus de détails.
Q. Y a-t-il des coûts associés à l'exécution d'Amazon Linux 2 dans Amazon EC2 ?
Non, il n'y a pas de frais supplémentaires pour l'exécution d'Amazon Linux 2. Les frais standard d'Amazon EC2 et d'AWS s'appliquent pour l'exécution des instances Amazon EC2 et des autres services.
Q. Quels types d'instances Amazon EC2 Amazon Linux 2 prend-il en charge ?
Amazon Linux 2 prend en charge tous les types d'instances Amazon EC2 qui prennent en charge les AMI HVM. Amazon Linux 2 ne prend pas en charge les anciennes instances qui nécessitent une fonction de paravirtualisation (PV).
Q. Amazon Linux 2 prend-il en charge les applications et bibliothèques 32 bits ?
Oui, Amazon Linux 2 prend en charge les applications et bibliothèques 32 bits. Si vous utilisez une version d'Amazon Linux 2 lancée avant le 04/10/2018, vous pouvez exécuter « yum upgrade » pour bénéficier de la prise en charge 32 bits complète.
Q. Amazon Linux 2 est-il fourni avec une interface utilisateur graphique (GUI) de bureau ?
Oui, l'environnement de bureau MATE est fourni en supplément dans Amazon Linux 2. Amazon WorkSpaces fournit des bureaux cloud basés sur Amazon Linux 2 cloud dotés d'une interface graphique (GUI). Vous pouvez en savoir plus en cliquant ici.
Q. Puis-je consulter le code source des composants Amazon Linux 2 ?
Oui. L'outil yumdownloader --source d'Amazon Linux 2 permet d'accéder au code source de nombreux composants.
Q. Pourquoi Python 2.7 fait-il toujours partie d'Amazon Linux 2 ?
Nous continuerons à fournir des correctifs critiques de sécurité pour Python 2 conformément à notre engagement LTS pour les packages de base d'Amazon Linux 2 (jusqu'en juin 2025), même si la communauté Python en amont a annoncé la fin de vie de Python 2.7 en janvier 2020.
Q. Dois-je migrer mon code vers Python 3 et quitter Python 2.7 ?
Nous recommandons vivement à nos clients d'installer Python 3 sur leurs systèmes Amazon Linux 2 et de migrer leur code et leurs applications vers Python 3.
Q. Amazon Linux 2 est-il en train renoncer à Python 2.7 ?
Il n'est pas prévu de modifier l'interpréteur Python par défaut. Nous avons l'intention de retenir Python 2.7 par défaut pendant toute la durée de vie d'Amazon Linux 2. Nous allons rétroporter les correctifs de sécurité vers nos packages Python 2.7 selon les besoins.
Q. Pourquoi Amazon Linux 2 n'abandonne-t-il pas Python 2.7 pour le gestionnaire de packages « yum » ? Pourquoi ne passe-t-il pas à DNF, qui est basé sur Python 3 ?
Lors d'une version LTS du système d'exploitation, le risque d'apporter des modifications fondamentales, de remplacer ou d'ajouter un autre gestionnaire de packages est extrêmement élevé. Ainsi, lors de la planification de notre migration vers Python 3 pour Amazon Linux, nous avons pris la décision d'effectuer cette migration à travers la limite entre d’une version majeure plutôt qu’à l'intérieur d'Amazon Linux 2. Il s'agit d'une approche partagée par d'autres distributions Linux basées sur RPM, y compris celles qui ne font pas l’objet d'engagement LTS.
Q. En quoi le noyau 5.10 diffère-t-il du noyau 4.14 ?
Le noyau 5.10 apporte un certain nombre de fonctionnalité et d'améliorations des performances, dont des optimisations pour les processeurs Intel Ice Lake Graviton 2 qui alimentent la toute dernière génération d'instances EC2.
D’un point de vue sécurité, les clients bénéficient du VPN WireGuard qui permet de configurer un réseau privé virtuel efficace avec une faible surface d'attaque et qui permet le chiffrement avec frais moins élevés. Kernel 5.10 apporte aussi des fonctionnalités de verrouillage du noyau pour empêcher la modification non autorisée de l'image du noyau. Il apporte de même un certain nombre d'améliorations BPF, y compris le CO-RE (Compile Once - Run Everywhere).
Les clients dont les opérations intensives d'entrée-sortie bénéficieront de meilleures performances d'écriture, d'un partage plus sûr des anneaux io_uring entre les processus pour accélérer les opérations d'entrée-sortie et de la prise en charge du nouveau système exFAT pour une meilleure compatibilité avec les périphériques de stockage. Grâce à l'ajout du protocole MultiPath TCP (MPTCP), les clients disposant de plusieurs interfaces réseau peuvent combiner tous les chemins réseau disponibles pour augmenter le débit et réduire les défaillances réseau.
Prise en charge à long terme
Q. Qu'est-ce qui est inclus dans la prise à long terme pour Amazon Linux 2 ?
La prise en charge à long terme pour Amazon Linux 2 s'applique uniquement aux packages de base et inclut :
1) AWS fournira des mises à jour de sécurité et des correctifs de bugs pour tous les packages de base jusqu'au 30 juin 2025.
2) AWS assurera la compatibilité de l'interface binaire d'application (ABI) utilisateur-espace pour les packages de base suivants :
elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs et zlib
3) AWS fournira la compatibilité de l'interface binaire d'application (ABI) pour tous les autres packages de base, sauf si cette compatibilité n'est pas possible pour des raisons indépendantes de la volonté d'AWS.
Q : Est-ce qu'Amazon Linux 2 assure la compatibilité de l'ABI noyau-espace ?
Non, Amazon Linux 2 n’assure pas la compatibilité ABI noyau-espace . En cas de modification du noyau Linux en amont qui perturbe la stabilité de l'ABI, les applications qui s'appuient sur des pilotes de noyau tiers pourraient nécessiter des modifications supplémentaires.
Est-ce qu'AWS rétroporte les correctifs de sécurité pour Amazon Linux 2 ?
Oui. Amazon récupère régulièrement les correctifs de la version la plus récente des packages logiciels en amont et les applique à la version du package dans Amazon Linux 2. Au cours de ce processus, Amazon isole le correctif de toute autre modification, veille à ce que les correctifs n'introduisent pas d'effets secondaires indésirables, puis applique les correctifs.
Q. Les politiques de support à long terme s'appliquent-elles aux sujets supplémentaires ?
Le contenu des rubriques supplémentaires est exempté de la politique d'Amazon Linux relative à prise en charge à long terme et à la compatibilité binaire. Les rubriques supplémentaires donnent accès à une liste organisée de technologies qui évoluent rapidement et sont susceptibles d'être fréquemment mises à jour. Lorsque de nouvelles versions de packages dans les rubriques supplémentaires sont publiées, la prise en charge ne sera fournie que pour les packages les plus récents. Au fil du temps, ces technologies continueront de se perfectionner et de se stabiliser. Elles pourront éventuellement être ajoutées aux référentiels « de base » d'Amazon Linux 2 auxquels s'appliquent les politiques de prise en charge à long terme d'Amazon Linux 2.
Q. Des versions supplémentaires d'Amazon Linux 2 seront-elles fournies après la publication des versions LTS ?
Oui. Les nouvelles versions redirigeront vers les mêmes référentiels et incluront l'ensemble des mises à jour de sécurité et de fonctionnalités afin d'éviter d'avoir à appliquer les mises à jour en attente.
Q. Où puis-je obtenir les mises à jour pour Amazon Linux 2 ?
Les mises à jour pour Amazon Linux 2 sont fournies avec un référentiel préconfiguré hébergé dans chaque région AWS. Lors du lancement initial d'une nouvelle instance, Amazon Linux tente d'installer toutes les mises à jour de sécurité de l'espace utilisateur considérées comme critiques ou importantes. Vous pouvez également activer ou désactiver l'installation automatique de correctifs de sécurité critiques et importants au moment du lancement de l'instance.
Q. Comment puis-je automatiser l'application de correctifs de sécurité sur Amazon Linux 2 à l’échelle ?
Le Gestionnaire de correctifs d'AWS Systems Manager fonctionne avec Amazon Linux 2 pour automatiser le processus d'application de correctifs aux instances Amazon Linux 2 à l’échelle. Le gestionnaire de correctifs peut rechercher les correctifs manquants ou analyser et installer les correctifs manquants sur de grands groupes d'instances. Le gestionnaire de correctif de Systems Manager peut également être utilisé pour installer des correctifs pour des mises à jour qui ne sont pas liées à la sécurité.
Q. Quelles sont les options d’assistance premium disponibles pour Amazon Linux 2 ?
L’assistance concernant l'utilisation d'Amazon Linux 2 sur Amazon Web Services (AWS) est incluse dans les abonnements à AWS Support.
Pour le moment, AWS Support ne couvre pas l'utilisation sur site d'Amazon Linux 2. Le forum Amazon Linux 2 et la documentation Amazon Linux 2 sont les principales sources d'assistance pour l'utilisation sur site d'Amazon Linux 2. Vous pouvez poser des questions, signaler des bugs et demander des fonctionnalités sur les forums Amazon Linux 2.
Assistance pour Amazon Linux 2 LTS Candidates et l’AMI Amazon Linux
Q. Puis-je effectuer une mise à niveau continue d'Amazon Linux 2 LTS Candidate 2 vers la version LTS d'Amazon Linux 2 ?
Oui, une mise à niveau continue d'Amazon Linux 2 LTS Candidate 2 vers Amazon Linux 2 est possible. Cependant, des modifications apportées à la version finale du LTS pourrait entraîner une panne de votre application. Nous vous recommandons de tester votre application sur une nouvelle installation d'Amazon Linux 2 avant de procéder à la migration.
Q. AWS Support prendra-t-il en charge l’AMI Amazon Linux par la suite ?
Oui. Pour faciliter la migration vers Amazon Linux 2, AWS fournira des mises à jour de sécurité pour la dernière version d'Amazon Linux et de l’image du conteneur jusqu'au 31 décembre 2020. Vous pouvez également utiliser tous vos canaux d'assistance existants tels queAWS Premium Support et le forum de discussion Amazon Linux pour continuer à soumettre des demandes d'assistance.
Q. Amazon Linux 2 est-il rétrocompatible avec la version existante de l’AMI Amazon Linux ?
En raison de l'inclusion de composants tels que systemd dans Amazon Linux 2, vos applications exécutées sur la version actuelle d'Amazon Linux peuvent nécessiter des modifications supplémentaires pour pouvoir fonctionner sur Amazon Linux 2.
Q. Puis-je effectuer une mise à niveau sur place d'une version existante de l’AMI Amazon Linux vers Amazon Linux 2 ?
Non, une mise à niveau sur place depuis l'image Amazon Linux existante vers Amazon Linux 2 n'est pas prise en charge. Nous vous recommandons de tester votre application sur une nouvelle installation d'Amazon Linux 2 avant de procéder à la migration.
Q. Puis-je effectuer une mise à niveau continue sur des instances exécutant l’AMI Amazon Linux vers Amazon Linux 2 ?
Non, vos instances exécutant Amazon Linux ne seront pas mises à niveau vers Amazon Linux 2 avec des mécanismes de mise à niveau continue. Par conséquent, vos applications existantes ne sont pas perturbées. Veuillez consulter la documentation d’Amazon Linux et les outils de migration pour plus de détails.
Utilisation sur site
Q. Sur quelles plateformes de virtualisation sur site s'exécute Amazon Linux 2 ?
Les images de machines virtuelles Amazon Linux 2 sont actuellement disponibles pour les plateformes de virtualisation KVM, Microsoft Hyper-V, Oracle VM VirtualBox et VMware ESXi à des fins de développement et de test. Nous cherchons à obtenir la certification de ces plateformes de virtualisation.
Q. Comment puis-je commencer à utiliser l'image de machine virtuelle Amazon Linux 2 dans mon environnement de développement local ?
Une image de machine virtuelle pour chaque hyperviseur pris en charge est disponible en téléchargement. Après avoir téléchargé l'image, suivez la documentation Amazon Linux pour commencer.
Q. Y a-t-il des coûts associés à l'exécution d'Amazon Linux 2 sur site ?
Non. Il n'y a pas de frais supplémentaires pour l'exécution d'Amazon Linux 2 sur site.
Q. Un compte AWS est-il requis pour exécuter Amazon Linux 2 sur site ?
Non, aucun compte AWS n'est nécessaire pour exécuter Amazon Linux 2 sur site.
Q. Quelle est la configuration minimale requise pour exécuter Amazon Linux 2 ?
Amazon Linux 2 nécessite au minimum une machine virtuelle 64 bits dotée de 512 Mo de mémoire, d'un processeur virtuel et d'un BIOS émulé.
Q. Les images de machines virtuelles sur site Amazon Linux 2 bénéficieront-elles de mises à jour de sécurité de la part d'AWS ?
Oui, AWS fournira des mises à jour de sécurité et des correctifs de bugs pour tous les packages de base jusqu'au 30 juin 2025. De plus, AWS assurera la compatibilité de l'interface binaire d'application (ABI) utilisateur-espace pour les packages de base suivants.
Q. Puis-je bénéficier d'une assistance payante pour les images de machine virtuelle sur site d'Amazon Linux 2 auprès d'AWS Support ?
Non, à l'heure actuelle, AWS Support ne propose pas d’assistance payante pour les machines virtuelles Amazon Linux 2 exécutées sur site. Le support de la communauté via les forums Amazon Linux 2 est la principale source d'assistance pour répondre aux questions et résoudre les problèmes liés à l'utilisation sur site. La documentation Amazon Linux 2 fournit des recommandations pour rendre vos machines virtuelles Amazon Linux 2 et vos conteneurs opérationnels, configurer le système d'exploitation (OS) et installer des applications.
Sécurité d’Amazon Linux
Q. Comment Amazon Linux évalue-t-il les CVE ?
Amazon Linux évalue les vulnérabilités et failles de sécurité courantes (CVE) découvertes dans le cadre de son processus interne. Il évalue le risque potentiel pour ses produits et prend des mesures telles que la publication d'une mise à jour de sécurité ou d'un avis de sécurité. Les CVE reçoivent un score de Common Vulnerability Scoring System (CVSS), qui est une méthode standard pour évaluer et classer la gravité des vulnérabilités. La principale source de données pour les CVE est la base de données nationale sur les vulnérabilités (NVD). Amazon Linux collecte également des informations de sécurité auprès d'autres sources, telles que des avis aux fournisseurs et des rapports émanant de clients et de chercheurs.
Q : Pourquoi un scanner de sécurité signale-t-il une CVE non corrigée dans un package Amazon Linux alors qu'un avis de sécurité Amazon Linux indique que la CVE a été corrigée dans cette version ?
Comme la plupart des distributions Linux, Amazon Linux rétroporte régulièrement les correctifs de sécurité vers les versions de packages stables vendues dans ses référentiels. Lorsque ces packages sont mis à jour grâce à un rétroportage, le bulletin de sécurité Amazon Linux relatif au problème en question répertorie les versions de package spécifiques dans lesquelles le problème a été résolu pour Amazon Linux. Les scanners de sécurité qui s'appuient sur la gestion des versions effectué par les auteurs d'un projet ne détectent parfois pas qu'un correctif CVE donné a été appliqué dans une ancienne version. Les clients peuvent consulter Amazon Linux Security Center (ALAS) pour obtenir des mises à jour concernant les problèmes de sécurité et les correctifs.
Q. De quelle manière Amazon Linux communique-t-il la gravité d'un problème de sécurité ?
Amazon Linux Security diffuse des avis de sécurité concernant les produits Amazon Linux dans Amazon Linux Security Center (ALAS). Les avis de sécurité incluent généralement l'identifiant de l'avis, la gravité du problème, l'identifiant CVE, un aperçu de l'avis, les packages concernés et la correction du problème. Les CVE référencées dans l'avis se voient attribuer un score CVSS (nous utilisons des scores CVSSv3 mais les CVE antérieures à 2018 peuvent avoir un score CVSSv2) et un vecteur pour les packages concernés. Le score est représenté par une valeur décimale comprise entre 0 et 10. Les scores les plus élevés indiquent une vulnérabilité plus grave. Amazon Linux s'aligne sur le score du calculateur CVSSv3 de cadre ouvert pour déterminer la métrique de base. L'évaluation est la manière dont nous communiquons à nos clients la gravité des problèmes de sécurité. Les clients peuvent combiner ces évaluations avec les principales caractéristiques de leur environnement pour une évaluation des risques plus appropriée.
Q. De quelle manière les clients peuvent-ils se tenir informés des avis de sécurité émis par Amazon Linux ?
Amazon Linux propose des avis de sécurité relatifs aux consommables humains et machines, dans lesquels les clients peuvent s'abonner à nos flux RSS ou configurer des outils de numérisation pour analyser le code HTML. Les flux pour nos produits sont disponibles ici :
Amazon Linux 1/Flux RSS d’Amazon Linux 1
Amazon Linux 2/Flux RSS d’Amazon Linux 2
Amazon Linux 2023 / Amazon Linux 2023 RSS
FAQ FIPS AL2
Q. Qu'est-ce que la norme FIPS 140-2 ?
Federal Information Processing Standards (FIPS) 140-2 spécifient les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. En septembre 2020, le programme de validation des modules cryptographiques (CMVP) est passé à la norme FIPS 140-3 et n'accepte plus les soumissions FIPS 140-2 pour les nouveaux certificats de validation.
Les modules validés comme étant conformes à la norme FIPS 140-2 continueront d'être acceptés par les agences fédérales des deux pays pour la protection des informations sensibles (États-Unis) ou des informations désignées (Canada) jusqu'au 21 septembre 2026. Passé ce délai, le CMVP placera tous les modules validés par la norme FIPS 140-2 sur la liste historique.
Q. Comment activer FIPS sur Amazon Linux 2 ?
Les instructions d'activation du mode FIPS se trouvent dans Activer le mode FIPS.
Q. La certification FIPS d'Amazon Linux 2 est-elle validée ?
Les modules cryptographiques Amazon Linux 2 (modules OpenSSL, Libgcrypt, NSS, GnuTLS et Kernel) sont validés FIPS 140-2. Pour plus de détails, veuillez consulter le site web du CMVP.
Q. Qu'est-ce que le statut FIPS AL2 ?
Nom du module cryptographique | Packages associés | Statut | Numéro de certification | Date d'expiration de la certification |
OpenSSL | openssl1.0.2k | Actif | 4548 | 22/10/2024 |
Libgcrypt | libgcrypt-1.5 | Actif | 3618 | 18/02/2025 |
NSS | nss-softokn-3.36/nss-softokn-freebl-3.36. |
Actif | 4565 | 19/04/2025 |
GnuTLS | gnutls-3.3 | Actif | 4472 | 19/04/2025 |
Kernel Crypto API | kernel-4.14 | Actif | 4593 | 13/09/2025 |
Q. Comment puis-je être conforme à la norme FIPS sur AL2 après octobre 2024 ?
Les certifications FIPS AL2 seront progressivement supprimées à partir d'octobre 2024. Il est probable que les modules validés FIPS AL2 soient dans leur état historique avant que les modules cryptographiques AL2023 n’aient obtenu leur validation FIPS. AWS recommande de migrer vers AL2023 ou de consulter votre équipe de conformité au sujet de l'utilisation des modules validés AL2 FIPS dont le statut est historique.
Q. Sur quels environnements d'exploitation les tests Amazon Linux 2 ont-ils été effectués ?
AL2 OpenSSL, NSS, Libgcyprt, Kernel et GnuTLS sont validés FIPS 140-2 sur Intel et Graviton. Pour plus de détails, veuillez consulter le site web du CMVP.
Amazon Linux extras
Q. Qu'est-ce qu'Amazon Linux extras ?
Extras est un mécanisme d'Amazon Linux 2 qui permet l’utilisation de nouvelles versions d’un logiciel d'application sur un système d'exploitation stable pris en charge jusqu'au 30 juin 2025. Extras contribue à réduire le compromis entre stabilité du système d'exploitation et utilisation des logiciels disponibles dans leur dernière version. Par exemple, vous pouvez désormais installer les versions les plus récentes de MariaDB sur un système d'exploitation stable pris en charge pendant cinq ans. Parmi les extras sont inclus : Ansible 2.4.2, memcached 1.5, nginx 1.12, Postgresql 9.6, MariaDB 10.2, Go 1.9, Redis 4.0, R 3.4, Rust 1.22.1.
Q. Comment fonctionne Amazon Linux extras ?
Extras fournit des rubriques permettant de sélectionner des offres de logiciels. Chaque rubrique contient toutes les dépendances nécessaires à l'installation et au fonctionnement du logiciel sur Amazon Linux 2. Par exemple, Rust est une rubrique extras dans la liste sélectionnée et fournie par Amazon. Cette rubrique fournit la chaîne d'outils et les environnements d'exécution nécessaires à Rust, le langage de programmation des systèmes. Celle-ci inclut le système de construction cmake pour Rust, cargo (le gestionnaire de packages Rust) et la chaîne d'outils de compilation basée sur LLVM pour Rust. Les packages associés à chaque rubrique sont utilisés avec le célèbre processus d'installation de yum.
Q. Comment installer un package logiciel depuis le référentiel Amazon Linux extras ?
Les packages disponibles peuvent être répertoriés à l'aide de la commande amazon-linux-extras dans le shell d’Amazon Linux 2. Les packages provenant d'extras peuvent être installés à l'aide de la commande « sudo amazon-linux-extras install ».
Exemple : $ sudo amazon-linux-extras install rust1
Consultez la documentation Amazon Linux pour plus de détails sur la prise en main d'Amazon Linux extras.
Q. Les packages inclus dans extras seront-ils portés vers la version « de base » avec une prise en charge à long terme ?
Au fil du temps, les technologies répertoriées dans extras évoluant rapidement vont continuer à de se perfectionner et de se stabiliser. Elles pourraient être ajoutées à la version « de base » d'Amazon Linux 2 auquel s'appliquent les politiques de support à long terme.
Assistance ISV
Q. Quelles sont les applications tierces prises en charge pour fonctionner sur Amazon Linux 2 ?
Amazon Linux 2 dispose d'une communauté de fournisseurs indépendants de logiciels (ISV) en pleine croissance, dont Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX, et bien d’autres encore.
Une liste complète des applications ISV prises en charge est disponible sur la page Amazon Linux 2
Pour faire certifier votre application avec Amazon Linux 2, contactez-nous.
Correctifs du noyau en direct
Q. Que sont les correctifs en direct du noyau dans Amazon Linux 2 ?
La fonctionnalité de correctifs en direct du noyau dans Amazon Linux 2 est une fonctionnalité qui permet d'appliquer des correctifs de sécurité et de bugs à un noyau Linux en cours d'exécution sans avoir à le redémarrer. Les correctifs en direct du noyau Amazon Linux sont fournis aux référentiels de packages existants pour Amazon Linux 2 et peuvent être appliqués à l'aide de commandes yum classiques telles que « yum update —security » lorsque la fonctionnalité a été activée.
Q. Quels sont les cas d'utilisation des correctifs en direct du noyau dans Amazon Linux 2 ?
Les cas d'utilisation ciblés par les correctifs en direct du noyau dans Amazon Linux 2 incluent :
- Des correctifs d'urgence pour corriger les failles de sécurité les plus graves et les bugs de corruption de données sans interruption de service.
- L’application de mises à jour du système d'exploitation sans attendre la fin des tâches de longue durée, la déconnexion des utilisateurs ou les plages horaires de redémarrage prévues pour appliquer les mises à jour de sécurité.
- L’accélération du déploiement des correctifs de sécurité en éliminant les redémarrages progressifs requis dans les systèmes hautement disponibles
Q. Quand est-ce qu'AWS fournit des correctifs en direct du noyau ?
AWS fournit généralement des correctifs en direct du noyau pour corriger les CVE pour le noyau Amazon Linux 2 par défaut, lorsqu’elles sont notées comme critiques et importantes par AWS. Les notes critiques et importantes attribuées dans un avis de sécurité Amazon Linux correspondent généralement à un score de Common Vulnerability Scoring System (CVSS) de 7 ou plus. En outre, AWS fournira également des correctifs en direct du noyau dans le cadre de certaines corrections de bugs afin de résoudre les problèmes de stabilité du système et les problèmes potentiels de corruption des données. Il se peut qu'un petit nombre de problèmes ne reçoivent pas les correctifs en direct du noyau malgré leur gravité en raison de limitations techniques. Par exemple, les correctifs qui modifient le code assembleur ou les signatures des fonctions peuvent ne pas recevoir de correctifs en direct du noyau. Les noyaux d'Amazon Linux 2 Extras et tout logiciel tiers qui n'est pas développé et diffusé par AWS ne recevront pas de correctifs en direct du noyau.
Q. L'utilisation des correctifs en direct du noyau dans Amazon Linux 2 comporte-t-elle des frais ?
Nous fournissons gratuitement les correctifs en direct du noyau pour Amazon Linux 2.
Q. Comment utiliser les correctifs en direct du noyau dans Amazon Linux 2 ?
Les correctifs en direct du noyau sont fournis par Amazon et peuvent être utilisés avec le gestionnaire de packages yum et les utilitaires d'Amazon Linux 2 ainsi que par le gestionnaire de correctifs d'AWS Systems Manager. Chaque correctif en direct du noyau est fourni sous la forme d'un package RPM. Les correctifs en direct du noyau sont actuellement désactivés par défaut dans Amazon Linux 2. Vous pouvez utiliser le plugin yum disponible pour activer et désactiver les correctifs en direct du noyau. Vous pouvez ensuite utiliser les flux de travail existants dans l'utilitaire yum pour appliquer des correctifs de sécurité, notamment des correctifs en direct du noyau. De plus, l'utilitaire de ligne de commande kpatch peut être utilisé pour énumérer, appliquer et activer/désactiver les correctifs en direct du noyau.
- « sudo yum install -y yum-plugin-kernel-livepatch » installe le plugin yum pour la fonctionnalité de correctifs en direct du noyau sur Amazon Linux.
- « sudo yum kernel-livepatch enable -y » active le plugin.
- « sudo systemctl enable kpatch.service » active le service kpatch, l'infrastructure des correctifs en direct du noyau utilisée dans Amazon Linux.
- « sudo amazon-linux-extras enable livepatch » ajoute les points de terminaison du référentiel de correctifs en direct du noyau.
- « yum check-update kernel » affiche la liste des noyaux disponibles pour une mise à jour.
- « yum updateinfo list » répertorie les mises à jour de sécurité disponibles.
- « sudo yum update --security » installe les correctifs disponibles, y compris les correctifs en direct du noyau disponibles en tant que correctifs de sécurité.
- « kpatch list » est utilisée pour répertorier tous les correctifs en direct du noyau chargés.
Q. Le gestionnaire de correctifs d'AWS Systems Manager prend-il en charge l'application de correctifs en direct ?
Oui. Vous pouvez utiliser le gestionnaire de correctifs d'AWS SSM pour automatiser l'application des correctifs en direct du noyau sans avoir à redémarrer immédiatement lorsque le correctif est disponible en tant que correctif en direct. Consultez la documentation du gestionnaire de correctifs d'AWS SSM pour commencer.
Q. Où puis-je obtenir des informations sur les correctifs de sécurité fournis par le biais des correctifs en direct du noyau ?
AWS publie des informations sur les correctifs en direct du noyau destinés à corriger les failles de sécurité du Amazon Linux Security Center.
Q. L'utilisation des correctifs en direct du noyau est-elle soumise à des restrictions ?
Lorsque vous appliquez un correctif en direct du noyau dans Amazon Linux 2, vous ne pouvez pas exécuter simultanément une mise en veille prolongée, ni utiliser des outils de débogage avancés tels que SystemTap, kprobes, les outils basés sur eBPF et accéder aux fichiers de sortie ftrace utilisés par l'infrastructure de mise à jour en direct du noyau.
Q. Comment résoudre les problèmes qui peuvent survenir lors de l'application des correctifs en direct du noyau à Amazon Linux 2 ?
Si vous rencontrez des problèmes avec un correctif en direct du noyau, désactivez le correctif et informez-en AWS Support ou Amazon Linux Engineering via une publication sur les forums AWS.
Q. Les correctifs en direct du noyau dans Amazon Linux 2 éliminent-t-ils complètement le besoin de redémarrages pour appliquer les correctifs de sécurité ?
Les correctifs en direct du noyau dans Amazon Linux 2 ne suppriment pas totalement la nécessité de redémarrer le système d'exploitation, mais permettent de résoudre des problèmes de sécurité importants et critiques en dehors des périodes de maintenance planifiées. Chaque noyau Linux dans Amazon Linux 2 recevra des correctifs actifs environ 3 mois après la sortie d'un noyau Amazon Linux. Après chaque période de 3 mois, le système d'exploitation doit être redémarré avec la dernière version du noyau Amazon Linux pour continuer à recevoir les correctifs en direct du noyau.
Q. Dans quels instances EC2 et environnements sur site les correctifs en direct du noyau dans Amazon Linux 2 sont-ils pris en charge ?
Les correctifs en direct du noyau dans Amazon Linux 2 sont pris en charge sur toutes les plateformes x86_64 (AMD/Intel 64 bits) sur lesquelles Amazon Linux 2 est pris en charge. Cela inclut toutes les instances HVM EC2, VMware Cloud on AWS, VMware ESXi, VirtualBox, KVM, Hyper-V et KVM. Les plateformes basées sur ARM ne sont actuellement pas prises en charge.
Q. AWS continuera-t-il à fournir des correctifs réguliers (qui ne sont pas « en direct ») pour les mises à jour du système d'exploitation fournies avec les correctifs en direct du noyau ?
Oui, AWS continuera à fournir des correctifs réguliers pour toutes les mises à jour du système d'exploitation. En règle générale, les correctifs classiques et les correctifs en direct du noyau seront fournis en même temps.
Q. Que se passe-t-il si un redémarrage est effectué sur des systèmes Amazon Linux 2 dont le noyau a été corrigé en direct ?
Par défaut, lorsqu'un redémarrage est effectué, les correctifs en direct du noyau sont remplacés par des correctifs équivalents classiques qui ne sont pas « en direct ». Vous pouvez également effectuer des redémarrages sans remplacer les correctifs en direct du noyau par des correctifs classiques. Consultez la documentation relatives aux correctifs en direct du noyau dans Amazon Linux 2 pour plus de détails.
Q. Les correctifs en direct du noyau affectent-t-ils la compatibilité ABI d'Amazon Linux 2 ?
Les correctifs en direct du noyau dans Amazon Linux 2 ne modifient pas la compatibilité de l'ABI du noyau d'Amazon Linux 2.
Q. Comment puis-je bénéficier d'une assistance premium pour les problèmes susceptibles de survenir lors de l'application des correctifs en direct du noyau ?
Les plans Business et Enterprise pour AWS Support incluent une assistance premium pour toutes les fonctionnalités d'Amazon Linux, y compris les correctifs en direct du noyau. AWS ne prend en charge que les correctifs en direct du noyau fournis par AWS et recommande de contacter votre fournisseur en cas de problème avec des solutions tierces de correctifs en direct du noyau. AWS vous recommande également de n'utiliser qu'une seule solution de correctifs en direct du noyau sur Amazon Linux 2.
Q. Comment les correctifs en direct du noyau seront-ils indiqués dans le centre de sécurité Amazon Linux ?
Une ligne dédiée dans les listes du centre de sécurité Amazon Linux apparaîtra pour chaque correctif en direct du noyau. L'entrée aura une identification au format suivant : « ALASLIVEPATCH-<datestamp> », et le nom du package apparaîtra sous la format suivant : « kernel-livepatch-<kernel-version> ».
Q. Pendant combien de temps un noyau Amazon Linux reçoit-il des correctifs en direct ?
Une version du noyau bénéficiera de correctifs en direct pendant environ 3 mois. Amazon Linux fournira des correctifs en direct pour les 6 derniers noyaux publiés. Notez que les correctifs en direct du noyau seront pris en charge uniquement sur le noyau par défaut publié dans Amazon Linux 2. Le noyau de prochaine génération inclus dans les extras ne recevra pas de correctifs en direct.
Pour savoir si le noyau Linux actuel continue de recevoir des correctifs en direct ou non, et la date à laquelle cette fenêtre de prise en charge se termine, utilisez la commande yum suivante :
« yum kernel-livepatch supported »
Q. Quels sont les flux de travail yum pris en charge pour les correctifs en direct du noyau ?
Le plugin de correctifs en direct du noyau yum prend en charge tous les flux de travail normalement pris en charge dans l'utilitaire de gestion de packages yum. Par exemple, « yum update », « yum update kernel », « yum update —security », « yum update all ».
Q. Les correctifs en direct du noyau sont-ils signés ?
Les RPM de correctifs en direct du noyau sont signés à l’aide de clés GPG. Cependant, les modules du noyau ne sont pas signés pour le moment.
Commencez à créer avec Amazon Linux 2 dans la Console de gestion AWS.