Généralités
Q : Qu'est-ce qu'Amazon Linux 2023 ?
R : Amazon Linux 2023 (AL2023) est une distribution Linux polyvalente basée sur rpm et un successeur d'Amazon Linux 2. AL2023 simplifie la planification des mises à niveau du système d'exploitation. À partir de la version AL2023, une nouvelle version majeure d'Amazon Linux sort tous les deux ans, inclut des versions mineures trimestrielles et s'accompagne de cinq ans de prise en charge à long terme. Amazon Linux 2023 s'intègre aux services AWS et est conçu pour être déployé avec une mise à l'échelle horizontale dans le cloud. Par défaut, les AMI et les images de conteneur AL2023 sont rattachées à une version spécifique du référentiel de packages, ce qui garantit un comportement déterministe et simplifie l'intégration des mises à jour de système d'exploitation dans des environnements d'intégration et déploiement continus.
Q : Comment signaler un bogue ou un problème ?
Vous pouvez utiliser la page GitHub d’Amazon Linux 2023 ou travailler avec votre équipe de compte pour signaler un bogue ou un problème.
Q : Quel est le calendrier de publication d’Amazon Linux ?
R : Une nouvelle version majeure sort tous les deux ans et s'accompagne de cinq ans de prise en charge à long terme. Chaque version se compose de deux phases : la phase de développement actif (2 ans) et la phase de maintenance (3 ans). Dans la phase de développement actif, la version reçoit des mises à jour trimestrielles des versions mineures. Chaque version mineure est une liste cumulative de mises à jour qui comprend des corrections de sécurité et de bogues en plus des nouvelles fonctions et des nouveaux packages. Pendant la phase de maintenance, une version reçoit uniquement des mises à jour de sécurité et des corrections de bogues stratégiques qui seront publiées dès qu'elles seront disponibles. Vous pouvez voir l'état de toute vulnérabilité de sécurité connue sur la page du Centre de sécurité AL2023. Chaque fois que nous publierons de nouveaux référentiels, nous publierons également une nouvelle Amazon Machine Image Linux.
Q : Qu'est-ce qui est inclus dans les versions majeures et mineures ?
R : Les versions majeures d'Amazon Linux comprendront de nouvelles fonctions et des améliorations en matière de sécurité et de performances sur l'ensemble de la pile, y compris le noyau, la chaîne d'outils, glibc, openssl et toutes les autres bibliothèques et utilitaires du système. Les versions majeures d'Amazon Linux seront basées en partie sur la version actuelle de la distribution Linux Fedora en amont, bien qu'Amazon puisse choisir d'ajouter ou de remplacer des packages spécifiques provenant d'autres amonts non-Fedora (par exemple, le noyau Linux provient des choix de prise en charge à long terme de kernel.org et est maintenu spécifiquement pour les produits Linux d'Amazon). Vous devez vous attendre à des mises à jour de versions majeures pour les packages du référentiel qui ne sont parfois pas rétrocompatibles. Nous fournirons une liste complète des modifications entre les versions majeures. Les versions mineures trimestrielles comprendront des mises à jour de sécurité, des corrections de bogues et de nouvelles fonctions et packages. Les exemples de modifications dans les versions mineures incluent les derniers environnements d'exécution de langages, comme PHP et d'autres packages logiciels populaires comme Ansible et Docker. Pendant la phase de maintenance, une version reçoit uniquement des mises à jour de sécurité et des corrections de bogues critiques qui seront publiées dès qu'elles seront disponibles.
Q : Comment les mises à jour des versions majeures et mineures seront-elles fournies ?
R : Les mises à jour sont fournies via une combinaison de nouvelles versions AMI (Amazon Machine Image) et de nouveaux référentiels correspondants. Par défaut, une nouvelle AMI et le référentiel vers lequel elle pointe sont couplés, mais vous pouvez faire pointer vos instances Amazon EC2 en cours d'exécution vers des versions de référentiel plus récentes au fil du temps afin d'appliquer les mises à jour aux instances en cours d'exécution. Vous pouvez également effectuer des mises à jour en lançant de nouvelles instances des dernières AMI.
Q : À quelle fréquence une nouvelle AMI Amazon Linux sera-t-elle disponible ?
R : Chaque fois que nous publierons une nouvelle version (version majeure, version mineure ou une version de sécurité), nous publierons également une nouvelle Amazon Machine Image (AMI) Linux.
Q : Comment puis-je contrôler les mises à jour que je reçois des versions majeures et mineures ?
R : AL2023 verrouille une version spécifique de votre référentiel (il peut s'agir de n'importe quelle version majeure ou mineure). L'AMI AL2023 exposé à travers nos paramètres SSM sera toujours le plus récent et disposera des packages et des mises à jour les plus récentes, y compris les mises à jour de sécurité sensibles et importantes. Si vous lancez une instance EC2 en utilisant l'AMI AL2023 à travers l'assistant de lancement, vous disposerez toujours des dernières mises à jour. En revanche, si vous lancez une instance à partir d'une AMI plus ancienne, aucune mise à jour ne sera automatiquement appliquée et tous les packages supplémentaires installés dans le cadre de votre approvisionnement correspondront à la version du référentiel à partir duquel l'ancienne AMI a été créée. Cela vous permet de garantir la cohérence des versions et des mises à jour des packages dans votre environnement, en particulier si vous lancez plusieurs instances à partir de la même AMI. Vous pouvez appliquer les mises à jour en fonction de la planification qui vous convient. Vous pouvez également appliquer un ensemble spécifique de mises à jour au lancement, car celles-ci peuvent également être rattachées à une version spécifique du référentiel. Veuillez vous reporter à la documentation pour plus de détails.
Q : Quel est le processus de contrôle des mises à jour de packages disponibles à partir des référentiels AL2023 ?
R : Lorsque nous publierons une nouvelle version des référentiels AL2023, toutes les versions précédentes seront encore disponibles. Par défaut, le plugin de gestion des versions du référentiel se rattachera à la même version que celle qui a été utilisée pour créer l'AMI. Si vous avez besoin de contrôler les mises à jour des packages, vous pouvez découvrir les versions du référentiel disponibles pour la mise à jour en exécutant « dnf check-release-update », et sélectionner une version en exécutant commande « dnf —releasever=version update ». À ce moment-là, « dnf install » ou « dnf upgrade » ne choisira que les packages de la version du référentiel sélectionnée. Si vous n'avez pas besoin de contrôler les mises à jour des packages, vous pouvez sélectionner la « dernière » version, qui pointera toujours vers la version la plus récente des référentiels AL2023. Si vous utilisez actuellement Amazon Linux 2, cela rétablit le comportement hérité pour les mises à jour de packages que vous et les flux de correctifs existants pourriez attendre.
Q : Mon instance AL2023 recevra-t-elle automatiquement les mises à jour de sécurité sensibles et importantes ?
R : Pas dans une configuration par défaut. Par défaut, le plugin de gestion des versions du référentiel se verrouillera sur la même version que celle utilisée pour créer l'AMI et aucune mise à jour de sécurité ne sera appliquée. Vous pouvez toujours modifier la configuration par défaut pour recevoir automatiquement les mises à jour des packages. Vous pouvez également demander à recevoir uniquement les mises à jour de sécurité. Veuillez consulter la documentation pour plus de détails.
Q. Comment puis-je commencer à utiliser Amazon Linux 2023 sur AWS ?
R : AWS fournit une Amazon Machine Image (AMI) pour Amazon Linux 2023 que vous pouvez utiliser pour lancer une instance à partir de la console Amazon EC2, du kit SDK AWS et de l'AWS CLI. Reportez-vous à la documentation d'Amazon Linux 2023 pour plus de détails.
Q : Y a-t-il des coûts associés à l'exécution d'Amazon Linux 2023 dans Amazon EC2 ?
R : Non. Il n'y a pas de frais supplémentaires pour l'exécution d'Amazon Linux 2023. Les frais standard d'Amazon EC2 et d'AWS s'appliquent pour l'exécution des instances Amazon EC2 et des autres services.
Q : Puis-je utiliser AL2023 en dehors d'AWS ?
R : Vous pouvez utiliser les images AL2023 en dehors d'AWS. Cependant, ces images ne sont pas couvertes par les plans d'AWS Support lorsqu'elles sont utilisées en dehors d'AWS.
Q : À quel groupe de clients AL2023 convient-il le mieux ?
R : AL2023 est une excellente option si vous recherchez un système d'exploitation Linux polyvalent à utiliser sur AWS. AL2023 est optimisé pour Amazon EC2, bien intégré aux dernières fonctions d'AWS et offre une expérience intégrée avec de nombreux outils spécifiques à AWS (AWS Systems Manager et AWS CLI). Si vous utilisez actuellement Amazon Linux AMI (AL1) ou Amazon Linux 2 (AL2), vous devriez envisager d'essayer AL2023, car il combine les avantages des deux. En plus d'offrir des mises à jour fréquentes et une prise en charge à long terme, Amazon Linux 2023 fournit une cadence de publication prévisible, une flexibilité et un contrôle sur les nouvelles mises à jour logicielles, et élimine les frais généraux opérationnels liés à la création de politiques personnalisées pour répondre aux exigences de conformité standard.
Q : AL2023 comporte-t-il des extras à Amazon Linux tels qu'AL2 ?
R : Non. AL2023 ne comporte pas d'extras. Pour les packages logiciels de plus haut niveau tels que les environnements d'exécution de langages, nous utiliserons la version trimestrielle où nous ajouterons les mises à jour majeures/mineures aux packages en tant que packages séparés avec espaces de noms en plus du package par défaut fourni dans le référentiel. Par exemple, la version par défaut de Python dans Amazon Linux 2023 peut être 3.8, mais nous ajouterons Python 3.9 (python39) en tant que package séparé avec espace de noms dès qu'il sera disponible. Ces packages supplémentaires suivront de près leur cadence de publication en amont et leur modèle de prise en charge. Le gestionnaire de packages pourra accéder à leurs politiques de prise en charge pour des cas d'utilisation liés à la conformité et à la sécurité. Les packages par défaut continueront à être pris en charge pendant toute la durée de vie d'AL2023.
Q : Comment puis-je donner mon avis concernant mon expérience avec AL2023 ?
R : Pour transmettre vos commentaires sur Amazon Linux 2023, vous pouvez vous adresser à votre représentant AWS désigné, ou utiliser les forums de discussion Amazon Linux ou à la page GitHub d'Amazon Linux 2023.
Politique de mises à jour
Q : Que comprendront les versions majeures et mineures d'AL2023 ?
R : Les versions majeures (tous les deux ans) comprendront de nouvelles fonctions et des améliorations en matière de sécurité et de performances sur l'ensemble de la pile, y compris le noyau, la chaîne d'outils, glibc, openssl et toutes les autres bibliothèques et utilitaires du système. Les versions majeures d'AL2023 seront basées en partie sur la version actuelle de la distribution Linux Fedora en amont, bien qu'Amazon puisse choisir d'ajouter ou de remplacer des packages spécifiques provenant d'autres amonts non-Fedora (par exemple, le noyau Linux provient des choix de prise en charge à long terme de kernel.org et est maintenu spécifiquement pour les produits Linux d'Amazon). Vous devez vous attendre à des mises à jour de versions majeures pour les packages du référentiel qui ne sont parfois pas rétrocompatibles. Nous fournirons une liste complète des modifications entre les versions majeures et vous serez en mesure d'effectuer une mise à niveau sur place au niveau des packages.
Les versions mineures trimestrielles (1.1, 1.2) comprendront des mises à jour de sécurité, des corrections de bogues et de nouvelles fonctions et packages. Les exemples de versions mineures incluent les derniers environnements d'exécution de langages, comme PHP et d'autres packages logiciels populaires comme Ansible et Docker. Les versions mineures n'apportent pas de modifications qui rompent la compatibilité des applications. Par exemple, les versions par défaut des environnements d'exécution de langages resteront stables pendant que les versions plus récentes des environnements d'exécution de langages seront fournies dans le référentiel en tant que nouveaux packages.
Q : Comment les mises à jour des versions majeures et mineures seront-elles fournies ?
R : Les mises à jour sont fournies via une combinaison de nouvelles versions AMI (Amazon Machine Image) et de nouveaux référentiels correspondants. Par défaut, une nouvelle AMI et le référentiel vers lequel elle pointe sont couplés, mais vous pouvez faire pointer vos instances Amazon EC2 en cours d'exécution vers des versions de référentiel plus récentes au fil du temps afin d'appliquer les mises à jour aux instances en cours d'exécution. Vous pouvez également effectuer des mises à jour en lançant de nouvelles instances des dernières AMI.
Q : Comment puis-je contrôler les mises à jour que je reçois des versions majeures et mineures ?
R : AL2023 est rattaché à une version spécifique de votre référentiel. L'AMI AL2023 affichée dans l'assistant de lancement EC2 sera toujours la plus récente et disposera des packages et des mises à jour les plus récentes, y compris les mises à jour de sécurité sensibles et importantes. Si vous lancez une instance EC2 en utilisant l'AMI AL2023 à travers l'assistant de lancement, vous disposerez toujours des dernières mises à jour (comme c'est le cas actuellement avec AL2). En revanche, si vous lancez une instance à partir d'une AMI plus ancienne, aucune mise à jour ne sera automatiquement appliquée et tous les packages supplémentaires installés dans le cadre de votre approvisionnement correspondront à la version du référentiel à partir duquel l'ancienne AMI a été créée. Cela vous permet de garantir la cohérence des versions et des mises à jour des packages dans votre environnement, en particulier si vous lancez plusieurs instances à partir de la même AMI. Vous pouvez appliquer les mises à jour en fonction de la planification qui vous convient.
Q : Comment puis-je contrôler les mises à jour de packages disponibles à partir des référentiels AL2023 ?
R : Lorsque nous publierons une nouvelle version des référentiels AL2023, toutes les versions précédentes seront encore disponibles. Par défaut, le plugin de gestion des versions du référentiel se rattachera à la même version que celle qui a été utilisée pour créer l'AMI. Si vous avez besoin de contrôler les mises à jour des packages, vous pouvez découvrir les versions du référentiel disponibles pour la mise à jour en exécutant « dnf check-release-update », et sélectionner une version en exécutant commande « dnf —releasever=version update ». À ce moment-là, « dnf install » ou « dnf upgrade » ne choisira que les packages de la version du référentiel sélectionnée. Si vous n'avez pas besoin de contrôler les mises à jour des packages, vous pouvez sélectionner la « dernière » version, qui pointera toujours vers la version la plus récente des référentiels AL2023. Cela rétablit le comportement hérité pour les mises à jour de packages que vous et les flux de correctifs existants pourriez attendre.
Sécurité
Q : AL2023 prend-il en charge SELinux ?
R : Oui. SELinux est un module de sécurité fournissant des politiques de contrôle d'accès. Il est largement utilisé dans le secteur pour verrouiller les serveurs Linux et les protéger contre les activités malveillantes. Les applications majeures d'AL2023 sont fournies avec des politiques SELinux pré-configurées afin de vous aider à répondre à vos besoins de conformité.
Q : Quelle est la configuration SELinux par défaut d'AL2023 ?
R : Par défaut, AL2023 dispose de SELinux en mode permissif. Vous pouvez modifier les paramètres SELinux en mode appliqué à travers la ligne de commande en exécutant « setenforce » ou en exécutant cette commande au lancement de cloud-init userdata. Au redémarrage de l'instance, celle-ci mémorisera et utilisera le paramètre SELinux qui a été spécifié la première fois, sauf si vous le modifiez. Reportez-vous à la documentation relative à AL2023 pour plus d'informations.
Q : Quels packages ne sont pas inclus dans la version candidate, mais seront disponibles dans la version GA ?
R : Reportez-vous aux notes de mises à jour Amazon Linux 2023 pour plus d'informations. Parmi les changements à observer entre la version finale et la version GA, l'on retrouve l'agent de mise en veille prolongée, ainsi que l'enregistrement des AMI pour un lancement par défaut avec IMDSv2 uniquement (soit la désactivation d'IMDSv1).
Q : Pourquoi un scanner de sécurité signale-t-il un CVE non corrigé dans un package Amazon Linux alors qu'un avis de sécurité Amazon Linux indique que le CVE a été corrigé dans cette version ?
R : Comme la plupart des distributions Linux, Amazon Linux rétroporte régulièrement les correctifs de sécurité vers les versions de packages stables vendues dans ses référentiels. Lorsque ces packages sont mis à jour avec un rétroportage, le bulletin de sécurité Amazon Linux relatif au problème en question répertorie les versions de package spécifiques dans lesquelles le problème a été résolu pour Amazon Linux. Les scanners de sécurité qui s'appuient sur la gestion des versions effectué par les auteurs d'un projet ne détectent parfois pas qu'un correctif CVE donné a été appliqué dans une ancienne version. Les clients peuvent consulter Amazon Linux Security Center (ALAS) pour obtenir des mises à jour concernant les problèmes de sécurité et les correctifs.
FAQ FIPS AL2023
Q : Qu’est-ce que FIPS 140-3 ?
R : La publication 140-3 des Federal Information Processing Standards (FIPS) contient des normes et des directives relatives à la protection et au cryptage des données pour les systèmes informatiques fédéraux. Cela a été développé par le National Institute of Standards and Technology (NIST), le Centre canadien pour la cybersécurité (CCCS) et des groupes de travail de l'industrie afin de valider l'efficacité des modules cryptographiques. La norme FIPS 140-3 s'aligne sur la norme ISO/IEC 19790 et apporte de nouvelles améliorations aux exigences de sécurité par rapport à la norme FIPS 140-2, aujourd'hui supprimée.
Q : Comment activer le mode FIPS sur Amazon Linux 2023 ?
R : Pour activer le mode FIPS sur AL2023, téléchargez les packages requis sur votre instance Amazon EC2 et connectez-vous à celle-ci pour activer le mode FIPS. Pour obtenir des instructions détaillées, consultez notre section Activer le mode FIPS.
Q : Quel est l'état actuel de la validation FIPS 140-3 de AL2023 ?
R : Les modules cryptographiques Amazon Linux 2023 (OpenSSL, NSS, Libgcrypt, Kernel, GnuTLS) ont été soumis à la validation FIPS 140-3. En date du 2 février 2024, les 5 modules cryptographiques figuraient sur la liste des Modules en cours de traitement (MIP) du FIPS. La liste MIP contient les modules cryptographiques qui ont passé tous les tests FIPS et qui attendent l'examen du CMVP et la délivrance du certificat. Le Programme de validation des modules cryptographiques (CMVP) est le fruit de la collaboration entre le National Institute of Standards and Technology du ministère du commerce et le Centre canadien pour la cybersécurité, une branche du Centre de la sécurité des télécommunications. Veuillez consulter le site Web du programme de validation des modules cryptographiques (CMVP) pour connaître le statut FIPS des modules cryptographiques AL2023.
Q : Les modules AL2023 pour FIPS peuvent-ils être utilisés lorsqu'ils sont sur la liste des modules
en cours de traitement (MIP) ?
R : Les clients peuvent utiliser les modules cryptographiques AL2023 quand ils figurent sur la liste MIP. AWS recommande aux clients de consulter leur équipe de conformité pour vérifier si l'utilisation de modules cryptographiques AL2023 pour leurs charges de travail conformes à la norme FIPS est acceptable et pour obtenir les approbations nécessaires.
Q : Quels modules cryptographiques AL2023 sont en cours d’examen avec le CMVP ?
Nom du module cryptographique | Packages associés | État de validation |
Module cryptographique OpenSSL Amazon Linux 2023 | OpenSSL 3.0.8 | Liste des modules en cours de traitement |
Module cryptographique NSS Amazon Linux 2023 | NSS 3.88 | Liste des modules en cours de traitement |
Module cryptographique Libgcrypt Amazon Linux 2023 | Libgcrypt 1.10.2 | Liste des modules en cours de traitement |
Module cryptographique Kernel Crypto API Amazon Linux 2023 | Kernel 6.1.38 | Liste des modules en cours de traitement |
Module cryptographique GnuTLS Amazon Linux 2023 | GnuTLS 3.8.0 | Liste des modules en cours de traitement |
Q : Quels sont les environnements d'exploitation couverts par les tests d'Amazon Linux 2023 ?
R : OpenSSL, NSS, Libgcyprt, Kernel et GnuTLS AL2023 ont été testés sur Intel, AMD et Graviton. Les détails figureront sur les certificats finaux.
Prise en charge à long terme
Q : Quelle est la politique de prise en charge à long terme pour AL2023 ?
R : AL2023 fournit des mises à jour pour ses packages et maintiendra la compatibilité au sein d'une version majeure pour les applications des clients créées sur AL2023. Les packages de base, tels que glibc, openssl, openssh et le gestionnaire de packages dnf, bénéficient d'une prise en charge pendant toute la durée de vie de la version majeure d'AL2023. Les packages qui ne font pas partie des packages de base seront pris en charge par leurs sources amont. Vous pouvez afficher le statut et les dates de prise en charge spécifiques de chaque package en exécutant la commande « dnf supportinfo nomdupackage ». La liste complète des packages de base sera finalisée pendant la version préliminaire. Si vous souhaitez que davantage de packages soient inclus comme packages de base, veuillez nous le faire savoir et nous verrons dans quelle mesure les ajouter, au fur et à mesure que nous recueillons des commentaires. Vous pouvez partager vos commentaires sur Amazon Linux 2023 par l'intermédiaire de votre représentant AWS désigné, du forum de discussion Amazon Linux ou de la page GitHub Amazon Linux 2023.
Commencez à créer avec Amazon Linux 2023 dans la console de gestion AWS.