Häufig gestellte Fragen zu Amazon Linux 2
Allgemeine Fragen
F: Was ist Amazon Linux 2?
Amazon Linux 2 ist das Amazon-Linux-Betriebssystem, das eine moderne Anwendungsumgebung mit den neuesten Verbesserungen aus der Linux-Community sowie langfristigen Support bietet. Zusätzlich zu Amazon Machine Images (AMI) und Container-Image-Formaten ist Amazon Linux 2 als VM-Image für die lokale Entwicklung und das Testen verfügbar, sodass Sie Ihre Anwendungen einfach direkt in Ihrer lokalen Entwicklungsumgebung entwickeln, testen und zertifizieren können.
F: Wann endet die Unterstützung für Amazon Linux 2?
Das Datum für das Ende des Supports von Amazon Linux 2 (End of Life oder EOL) wurde vom 30.06.2023 auf den 30.06.2025 um zwei Jahre verlängert, um den Kunden ausreichend Zeit für die Migration zur nächsten Version zu geben.
F: Was sind die Unterschiede zwischen Amazon Linux 2 und Amazon Linux 2023?
Bitte lesen Sie in der Dokumentation nach, um mehr über die Hauptunterschiede zwischen diesen Distributionen zu erfahren.
F: Welche Vorteile bietet die Nutzung von Amazon Linux 2?
Ähnlich wie Amazon Linux AMI unterstützt Amazon Linux 2 die neuesten Amazon-Elastic-Compute-Cloud-Instance-Funktionen (Amazon EC2) und umfasst Pakete, die eine einfache Integration mit AWS ermöglichen. Es ist für die Verwendung in Amazon EC2 mit einer neuesten und optimierten Linux-Kernelversion optimiert. Infolgedessen schneiden viele Kunden-Workloads unter Amazon Linux 2 besser ab. Amazon-Linux-2-Angebote werden bis zum 30. Juni 2025 mit Sicherheits- und Wartungsupdates unterstützt. Amazon Linux 2 ist als lokale VM-Images verfügbar, die lokale Entwicklung und Tests ermöglichen.
F: Welche Workloads oder Anwendungsfälle werden von Amazon Linux 2 unterstützt?
Amazon Linux 2 eignet sich für eine Vielzahl von virtualisierten und containerisierten Workloads wie Datenbanken, Datenanalysen, Branchenanwendungen, Web- und Desktop-Anwendungen und mehr in Produktionskontexten. Es ist auch für die Verwendung auf EC2-Bare-Metal-Instances sowohl als Bare-Metal-Betriebssystem als auch als Virtualisierungshost verfügbar.
F: Welche Kernkomponenten umfasst Amazon Linux 2?
Die Kernkomponenten von Amazon Linux 2 sind:
- Ein Linux-Kernel, der auf die Leistung auf Amazon EC2 abgestimmt ist.
- Eine Reihe von Kernpaketen, darunter systemd, GCC 7.3, Glibc 2.26, Binutils 2.29.1, die Long Term Support (LTS) von AWS erhalten.
- Ein zusätzlicher Kanal für sich schnell entwickelnde Technologien, die wahrscheinlich häufig und außerhalb des Long Term Support (LTS) -Modells aktualisiert werden.
F: Wie unterscheidet sich Amazon Linux 2 von Amazon Linux AMI?
Die Hauptunterschiede zwischen Amazon Linux 2 und Amazon Linux AMI sind:
- Amazon Linux 2 bietet langfristigen Support bis zum 30. Juni 2025.
- Amazon Linux 2 ist als VM-Images für lokale Entwicklung und Tests verfügbar.
- Amazon Linux 2 bietet den Systemd-Service und den Systemmanager im Gegensatz zum System-V-Init-System in Amazon Linux AMI.
- Amazon Linux 2 wird mit einem aktualisierten Linux-Kernel, einer C-Bibliothek, einem Compiler und Tools geliefert.
- Amazon Linux 2 bietet die Möglichkeit, zusätzliche Softwarepakete über den Zusatzmechanismus zu installieren.
F: Wie kann ich mit der Verwendung von Amazon Linux 2 auf AWS beginnen?
A: AWS stellt ein Amazon Machine Image (AMI) für Amazon Linux 2 bereit, das Sie zum Starten einer Instance über die Amazon-EC2-Konsole, das AWS SDK und die Befehlszeilenschnittstelle verwenden können. Weitere Informationen finden Sie in der Dokumentation zu Amazon Linux.
F: Sind mit dem Betrieb von Amazon Linux 2 in Amazon EC2 irgendwelche Kosten verbunden?
Nein, für die Nutzung von Amazon Linux 2 fallen keine zusätzlichen Gebühren an. Für das Ausführen von Amazon-EC2-Instances und anderen Services gelten die Standardgebühren für Amazon EC2 und AWS.
F: Welche Instance-Typen von Amazon EC2 unterstützt Amazon Linux 2?
Amazon Linux 2 unterstützt alle Amazon-EC2-Instance-Typen, die HVM-AMIs unterstützen. Amazon Linux 2 unterstützt keine älteren Instances, die eine Paravirtualisierungsfunktion (PV) erfordern.
F: Unterstützt Amazon Linux 2 32-Bit-Anwendungen und -Bibliotheken?
Ja, Amazon Linux 2 unterstützt jetzt 32-Bit-Anwendungen und -Bibliotheken. Wenn Sie eine Version von Amazon Linux 2 verwenden, die vor dem 10.04.2018 gestartet wurde, können Sie „yum upgrade“ ausführen, um die volle 32-Bit-Unterstützung zu erhalten.
F: Wird Amazon Linux 2 mit einem Desktop mit grafischer Benutzeroberfläche (GUI) geliefert?
Ja, die MATE-Desktop-Umgebung ist in Amazon Linux 2 als Extra enthalten. Amazon Workspaces bietet Cloud-basierte Amazon-Linux-2-basierte Cloud-Desktops mit einer GUI. Weitere Informationen finden Sie hier.
F: Kann ich den Quellcode für Amazon-Linux-2-Komponenten einsehen?
Ja. Das Tool yumdownloader --source in Amazon Linux 2 bietet Quellcodezugriff für viele Komponenten.
F: Warum ist Python 2.7 immer noch Teil von Amazon Linux 2?
Wir werden weiterhin wichtige Sicherheitspatches für Python 2 gemäß unserer LTS-Verpflichtung für Amazon-Linux-2-Core-Pakete bereitstellen (bis Juni 2025), obwohl die Upstream-Python-Community Python 2.7 im Januar 2020 für End Of Life erklärt hat.
F: Sollte ich meinen Code auf Python 3 und weg von Python 2.7 migrieren?
Wir empfehlen unseren Kunden dringend, Python 3 auf ihren Amazon-Linux-2-Systemen zu installieren und ihren Code und ihre Anwendungen auf Python 3 zu migrieren.
F: Entfernt sich Amazon Linux 2 von Python 2.7?
Es gibt keine Pläne, den Standard-Python-Interpreter zu ändern. Es ist unsere Absicht, Python 2.7 für die gesamte Lebensdauer von Amazon Linux 2 als Standard beizubehalten. Wir werden bei Bedarf Sicherheitskorrekturen auf unsere Python-2.7-Pakete zurückportieren.
F: Warum wechselt Amazon Linux 2 nicht von Python 2.7 für den Paketmanager „yum“ ab oder wechselt zu DNF, das auf Python 3 basiert?
Während einer LTS-Version des Betriebssystems ist das Risiko, grundlegende Änderungen am Paketmanager vorzunehmen, ihn zu ersetzen oder hinzuzufügen, extrem hoch. Daher haben wir bei der Planung unserer Python-3-Migration für Amazon Linux die Entscheidung getroffen, dies über eine wichtige Release-Grenze hinweg und nicht innerhalb von Amazon Linux 2 zu tun. Dies ist ein Ansatz, den auch andere RPM-basierte Linux-Distributionen teilen, auch solche ohne LTS-Verpflichtungen.
F: Wie unterscheidet sich Kernel 5.10 von Kernel 4.14?
Kernel 5.10 bietet eine Reihe von Funktionen und Leistungsverbesserungen, einschließlich Optimierungen für Intel-Ice-Lake-Prozessoren und Graviton 2, mit denen die neueste Generation von EC2-Instances ausgeführt werden kann.
Aus Sicherheitsgründen profitieren Kunden von WireGuard VPN, das beim Aufbau eines effektiven virtuellen privaten Netzwerks mit geringer Angriffsfläche hilft und eine Verschlüsselung mit weniger Aufwand ermöglicht. Kernel 5.10 bietet auch eine Kernel-Sperrfunktion, die eine unbefugte Änderung des Kernel-Images verhindert, sowie eine Reihe von BPF-Verbesserungen, einschließlich CO-RE (Compile Once – Run Everywhere).
Kunden mit intensiven Eingabe-/Ausgabeoperationen profitieren von einer besseren Schreibleistung, der sichereren gemeinsamen Nutzung von io_uring-Ringen zwischen Prozessen für schnellere Eingabe-/Ausgabevorgänge und der Unterstützung des neuen exFAT-Systems für eine bessere Kompatibilität mit Speichergeräten. Durch das Hinzufügen von MultiPath TCP (MPTCP) können Kunden mit mehreren Netzwerkschnittstellen alle verfügbaren Netzwerkpfade kombinieren, um den Durchsatz zu erhöhen und Netzwerkausfälle zu reduzieren.
Langzeit-Support
F: Was ist im langfristigen Support für Amazon Linux 2 enthalten?
Die langfristige Unterstützung für Amazon Linux 2 gilt nur für Kernpakete und umfasst:
1) AWS wird bis zum 30. Juni 2025 Sicherheitsupdates und Bugfixes für alle Pakete im Core bereitstellen.
2) AWS wird die ABI-Kompatibilität (Application Binary Interface) im Benutzerbereich für die folgenden Pakete im Kern aufrechterhalten:
elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs und zlib
3) AWS bietet Kompatibilität mit der Anwendungsbinärschnittstelle (ABI) für alle anderen Pakete im Kern, es sei denn, die Bereitstellung einer solchen Kompatibilität ist aus Gründen, die sich der Kontrolle von AWS entziehen, nicht möglich.
F: Behält Amazon Linux 2 die Kernel-Space-ABI-Kompatibilität bei?
Nein, Amazon Linux 2 behält keine Kernel-Space-ABI-Kompatibilität bei. Wenn es eine Änderung im Upstream-Linux-Kernel gibt, die die ABI-Stabilität beeinträchtigt, müssen Ihre Anwendungen, die Kerneltreiber von Drittanbietern verwenden, möglicherweise zusätzliche Änderungen vornehmen.
F: Führt AWS Sicherheitsupdates für Amazon Linux 2 zurück?
Ja. Amazon nimmt routinemäßig Korrekturen aus der neuesten Version der Upstream-Softwarepakete heraus und wendet sie auf die Version des Pakets in Amazon Linux 2 an. Während dieses Vorgangs isoliert Amazon das Update von allen anderen Änderungen, stellt sicher, dass die Korrekturen keine unerwünschten Nebenwirkungen haben, und wendet dann die Korrekturen an.
F: Gelten die Richtlinien zur langfristigen Unterstützung auch für zusätzliche Themen?
Der Inhalt der Zusatzthemen ist von den Amazon Linux-Richtlinien zur langfristigen Unterstützung und Binärkompatibilität ausgenommen. Zusätzliche Themen bieten Zugriff auf eine kuratierte Liste mit sich schnell entwickelnden Technologien und werden wahrscheinlich häufig aktualisiert. Wenn neue Versionen von Paketen in den Extras-Themen veröffentlicht werden, werden nur die aktuellsten Pakete unterstützt. Im Laufe der Zeit werden diese Technologien weiter ausgereift und stabilisiert werden und könnten irgendwann zu den „Core“-Repositorys von Amazon Linux 2 hinzugefügt werden, für die die Amazon Linux 2 Long Term Support-Richtlinien gelten.
F: Werden nach der Veröffentlichung der LTS-Builds weitere Amazon-Linux-2-Builds bereitgestellt?
Ja. Neue Builds verweisen auf dieselben Repositorys und enthalten den kumulativen Satz an Sicherheits- und Funktionsupdates, um zu verhindern, dass ausstehende Updates installiert werden müssen.
F: Wo erhalte ich Updates für Amazon Linux 2?
Updates für Amazon Linux 2 werden mit einem vorkonfigurierten Repository bereitgestellt, das in jeder AWS-Region gehostet wird. Beim ersten Start einer neuen Instance versucht Amazon Linux, alle Sicherheitsupdates für den Benutzerbereich zu installieren, die als kritisch oder wichtig eingestuft werden. Sie können auch die automatische Installation kritischer und wichtiger Sicherheitspatches beim Start der Instance aktivieren oder deaktivieren.
F: Wie kann ich Sicherheitspatches auf Amazon Linux 2 in großem Maßstab automatisieren?
AWS Systems Manager Patch Manager arbeitet mit Amazon Linux 2 zusammen, um den Prozess des Patchens von Amazon-Linux-2-Instances in großem Maßstab zu automatisieren. Patch Manager kann nach fehlenden Patches suchen oder fehlende Patches für große Gruppen von Instances scannen und installieren. Systems Manager Patch Manager kann auch verwendet werden, um Patches für nicht sicherheitsrelevante Updates zu installieren.
F: Welche Premium-Supportoptionen sind für Amazon Linux 2 verfügbar?
Unterstützung für die Verwendung von Amazon Linux 2 auf Amazon Web Services (AWS) ist in AWS Support enthalten.
Der AWS-Support deckt derzeit nicht die lokale Nutzung von Amazon Linux 2 ab. Das Amazon-Linux-2-Forum und die Amazon-Linux-2-Dokumentation sind die wichtigsten Unterstützungsquellen für die lokale Verwendung von Amazon Linux 2. In den Amazon-Linux-2-Foren können Sie Fragen stellen, Fehler melden und Funktionsanfragen stellen.
Unterstützung für Amazon-Linux-2-LTS-Kandidaten und Amazon Linux AMI
F: Kann ich ein fortlaufendes Upgrade von Amazon Linux 2 LTS Candidate 2 auf die LTS-Version von Amazon Linux 2 durchführen?
Ja, ein fortlaufendes Upgrade von Amazon Linux 2 LTS Candidate 2 auf Amazon Linux 2 ist möglich. Änderungen im endgültigen LTS-Build, die jedoch zu einem Ausfall Ihrer Anwendung führen können. Wir empfehlen, dass Sie Ihre Anwendung vor der Migration zunächst auf einer Neuinstallation von Amazon Linux 2 testen.
F: Wird AWS Amazon Linux AMI in Zukunft unterstützen?
Ja. Um die Migration auf Amazon Linux 2 zu erleichtern, wird AWS bis zum 31. Dezember 2020 Sicherheitsupdates für die letzte Version von Amazon Linux und das Container-Image bereitstellen. Sie können auch alle Ihre vorhandenen Supportkanäle wie AWS Premium Support und das Amazon Linux Discussion Forum nutzen, um weiterhin Support-Anfragen einzureichen.
F: Ist Amazon Linux 2 abwärtskompatibel mit der vorhandenen Version von Amazon Linux AMI?
Aufgrund der Integration von Komponenten wie systemd in Amazon Linux 2 sind für Ihre Anwendungen, die auf der aktuellen Version von Amazon Linux ausgeführt werden, möglicherweise zusätzliche Änderungen erforderlich, um auf Amazon Linux 2 ausgeführt zu werden.
F: Kann ich ein direktes Upgrade von einer vorhandenen Version von Amazon Linux AMI auf Amazon Linux 2 durchführen?
Nein, ein direktes Upgrade vom vorhandenen Amazon-Linux-Image auf Amazon Linux 2 wird nicht unterstützt. Wir empfehlen, dass Sie Ihre Anwendung vor der Migration zunächst auf einer Neuinstallation von Amazon Linux 2 testen.
F: Kann ich ein fortlaufendes Upgrade von Instances, auf denen Amazon Linux AMI ausgeführt wird, auf Amazon Linux 2 durchführen?
Nein, Ihre Instances, auf denen Amazon Linux ausgeführt wird, werden nicht mit fortlaufenden Upgrade-Mechanismen auf Amazon Linux 2 aktualisiert. Daher gibt es keine Unterbrechung Ihrer vorhandenen Anwendungen. Weitere Informationen finden Sie in der Dokumentation und den Migrationstools von Amazon Linux.
On-Premises-Verwendung
F: Auf welchen lokalen Virtualisierungsplattformen läuft Amazon Linux 2?
Amazon-Linux 2-Images für virtuelle Maschinen sind derzeit für die Virtualisierungsplattformen KVM, Microsoft Hyper-V, Oracle VM VirtualBox und VMware ESXi für Entwicklungs- und Testzwecke verfügbar. Wir streben eine Zertifizierung für diese Virtualisierungsplattformen an.
F: Wie kann ich mit der Verwendung des Amazon-Linux-2-Images für virtuelle Maschinen in meiner lokalen Entwicklungsumgebung beginnen?
Ein VM-Image für jeden unterstützten Hypervisor steht zum Download zur Verfügung. Folgen Sie nach dem Herunterladen des Images der Amazon-Linux-Dokumentation, um loszulegen.
F: Sind mit dem lokalen Betrieb von Amazon-Linux-2 irgendwelche Kosten verbunden?
Nein, für den lokalen Betrieb von Amazon Linux 2 fallen keine zusätzlichen Kosten an.
F: Ist ein AWS-Konto erforderlich, um Amazon Linux 2 lokal auszuführen?
Nein, für die lokale Ausführung von Amazon Linux 2 ist kein AWS-Konto erforderlich.
F: Was sind die Mindestsystemanforderungen für die Ausführung von Amazon Linux 2?
Amazon Linux 2 benötigt mindestens eine virtuelle 64-Bit-Maschine mit 512 MB Arbeitsspeicher, 1 virtueller CPU und einem emulierten BIOS.
F: Werden lokale VM-Images von Amazon Linux 2 Sicherheitsupdates von AWS erhalten?
Ja, AWS wird bis zum 30. Juni 2025 Sicherheitsupdates und Bugfixes für alle Pakete im Kern bereitstellen. Darüber hinaus wird AWS die ABI-Kompatibilität (Application Binary Interface) im Benutzerbereich für die folgenden Pakete im Kern aufrechterhalten.
F: Kann ich vom AWS-Support kostenpflichtigen Support für lokale VM-Images von AWS-Linux-2 erhalten?
Nein, derzeit bietet AWS Support keinen kostenpflichtigen Support für Amazon-Linux-2-VMs, die lokal ausgeführt werden. Der Community-Support über die Amazon-Linux-2-Foren ist die wichtigste Supportquelle für die Beantwortung von Fragen und die Lösung von Problemen, die sich aus der lokalen Nutzung ergeben. Die Amazon-Linux-2-Dokumentation enthält Anleitungen, wie Sie Ihre virtuellen Maschinen und Container von Amazon Linux 2 in Betrieb nehmen, das Betriebssystem konfigurieren und Anwendungen installieren.
Amazon-Linux-Sicherheit
F: Wie bewertet Amazon Linux CVEs?
Amazon Linux bewertet Common Vulnerabilities and Exposures (CVEs), die im Rahmen seines internen Prozesses entdeckt wurden, bewertet das potenzielle Risiko für seine Produkte und ergreift Maßnahmen wie die Herausgabe eines Sicherheitsupdates oder einer Sicherheitswarnung. CVEs werden nach dem Common Vulnerability Scoring System (CVSS) bewertet. Dabei handelt es sich um eine Standardmethode zur Bewertung und Einstufung des Schweregrads von Sicherheitslücken. Die Hauptquelle für CVE-Daten ist die National Vulnerability Database (NVD). Amazon Linux sammelt auch Sicherheitsinformationen aus anderen Quellen, wie z. B. Herstellerempfehlungen und Berichten von Kunden und Forschern.
F: Warum meldet ein Sicherheitsscanner ein unrepariertes CVE in einem Amazon-Linux-Paket, obwohl ein Amazon-Linux-Sicherheitshinweis behauptet, dass das CVE in dieser Version behoben wurde?
Amazon Linux portiert, wie die meisten Linux-Distributionen, routinemäßig Sicherheitskorrekturen auf stabile Paketversionen zurück, die in seinen Repositorys angeboten werden. Wenn diese Pakete mit einem Backport aktualisiert werden, listet der Amazon-Linux-Sicherheitsbericht für das jeweilige Problem die spezifischen Paketversionen auf, in denen das Problem für Amazon Linux behoben wurde. Sicherheitsscanner, die auf die Versionierung durch die Autoren eines Projekts angewiesen sind, erkennen manchmal nicht, dass ein bestimmter CVE-Fix in einer älteren Version angewendet wurde. Kunden können sich im Amazon Linux Security Center (ALAS) über Updates zu Sicherheitsproblemen und -behebungen informieren.
F: Wie kommuniziert Amazon Linux den Schweregrad eines Sicherheitsproblems?
Amazon Linux Security kommuniziert Sicherheitshinweise, die Amazon Linux-Produkte betreffen, im Amazon Linux Security Center (ALAS). Zu den Sicherheitshinweisen gehören in der Regel die Beratungs-ID, der Schweregrad des Problems, die CVE-ID, eine Übersicht über die Empfehlungen, die betroffenen Pakete und die Problembehebung. CVEs, auf die im Advisory verwiesen wird, haben einen CVSS-Score (wir verwenden CVSSv3-Scores, aber CVEs, die älter als 2018 sind, können einen CVSSv2-Score haben) und einen Vektor für die betroffenen Pakete. Die Punktzahl ist ein Dezimalwert zwischen 0 und 10, wobei höhere Werte auf eine schwerwiegendere Sicherheitsanfälligkeit hinweisen. Amazon Linux richtet sich zur Bestimmung der Basismetrik nach dem CVSSv3-Rechnerwert des offenen Frameworks. Anhand der Bewertung teilen wir unseren Kunden den Schweregrad von Sicherheitsproblemen mit. Kunden können diese Bewertungen mit den wichtigsten Merkmalen ihrer Umgebung kombinieren, um eine angemessenere Risikobewertung zu erhalten.
F: Wie können Kunden über Sicherheitshinweise von Amazon Linux auf dem Laufenden bleiben?
Amazon Linux bietet Sicherheitshinweise für Menschen und Maschinen, in denen Kunden unsere RSS-Feeds abonnieren oder Scan-Tools zum Analysieren von HTML konfigurieren können. Feeds für unsere Produkte finden Sie hier:
Amazon Linux 1 / Amazon Linux 1 RSS
Amazon Linux 2 / Amazon Linux 2 RSS
Amazon Linux 2023 / Amazon Linux 2023 RSS
HÄUFIG GESTELLTE FRAGEN ZU AL2 FIPS
F: Was ist FIPS 140-2?
Der Federal Information Processing Standard (FIPS) 140-2 spezifizierte die Sicherheitsanforderungen für kryptografische Module, die vertrauliche Informationen schützen. Im September 2020 wurde das Cryptographic Module Validation Program (CMVP) auf FIPS 140-3 umgestellt und akzeptiert keine FIPS 140-2-Einreichungen für neue Validierungszertifikate mehr.
Module, die als FIPS 140-2-konform validiert wurden, werden von den Bundesbehörden beider Länder für den Schutz sensibler Informationen (USA) oder designierter Informationen (Kanada) bis zum 21. September 2026 weiterhin akzeptiert. Nach Ablauf dieser Zeit nimmt CMVP alle FIPS 140-2-validierten Module in die historische Liste auf.
F: Wie aktiviere ich FIPS auf Amazon Linux 2?
Die Anweisungen zum Aktivieren des FIPS-Modus finden Sie unter FIPS-Modus aktivieren.
F: Ist Amazon Linux 2 FIPS validiert?
Die kryptografischen Module von Amazon Linux 2 (OpenSSL, Libgcrypt, NSS, GnuTLS, Kernel-Module) sind nach FIPS 140-2 validiert. Weitere Informationen finden Sie auf der CMVP-Website.
F: Was ist der AL2-FIPS-Status?
Name des kryptografischen Moduls | Zugeordnete Pakete | Status | Nummer der Zertifizierung | Ablaufdatum der Zertifizierung |
OpenSSL | openssl1.0.2k | Aktiv | 4548 | 2024-10-22 |
Libgcrypt | libgcrypt-1.5 | Aktiv | 3618 | 2025-02-18 |
NSS | nss-softon-3.36/nss-softon-freebl-3.36. |
Aktiv | 4565 | 2025-04-19 |
GnuTLS | gnutls-3.3 | Aktiv | 4472 | 2025-04-19 |
Kernel-Krypto-API | Kernel-4.14 | Aktiv | 4593 | 2025-09-13 |
F: Wie kann ich nach Oktober 2024 FIPS-konform auf AL2 sein?
Die AL2-FIPS-Zertifizierungen werden ab Oktober 2024 schrittweise eingestellt. Es ist wahrscheinlich, dass AL2-FIPS-validierte Module einen historischen Status haben werden, bevor die kryptografischen AL2023-Module die FIPS-Validierungen abschließen. AWS empfiehlt, auf AL2023 zu migrieren oder Ihr Compliance-Team bezüglich der Verwendung von AL2-FIPS-validierten Modulen im historischen Status zu konsultieren.
F: In welchen Betriebsumgebungen wurde Amazon Linux 2 getestet?
AL2 OpenSSL, NSS, Libgcyprt, Kernel und GnuTLS sind auf Intel und Graviton nach FIPS 140-2 validiert. Weitere Informationen finden Sie auf der CMVP-Website.
Amazon-Linux-Extras
F: Was sind Amazon-Linux-Extras?
Extras ist ein Mechanismus in Amazon Linux 2, der die Nutzung neuer Versionen von Anwendungssoftware auf einem stabilen Betriebssystem ermöglicht, das bis zum 30. Juni 2025 unterstützt wird. Extras tragen dazu bei, den Kompromiss zwischen der Stabilität des Betriebssystems und der Aktualität der verfügbaren Software zu verringern. Beispielsweise können Sie jetzt neuere Versionen von MariaDB auf einem stabilen Betriebssystem installieren, das fünf Jahre lang unterstützt wird. Beispiele für Extras sind Ansible 2.4.2, Memcached 1.5, Nginx 1.12, Postgresql 9.6, MariaDB 10.2, Go 1.9, Redis 4.0, R 3.4, Rust 1.22.1.
F: Wie funktionieren die Amazon-Linux-Extras?
Extras bieten Themen für ausgewählte Softwarepakete. Jedes Thema enthält alle Abhängigkeiten, die für die Installation und den Betrieb der Software unter Amazon Linux 2 erforderlich sind. Rust ist beispielsweise ein Extras-Thema in der von Amazon bereitgestellten kuratierten Liste. Es stellt die Toolchain und die Runtimes für Rust, die Systemprogrammiersprache, bereit. Dieses Thema umfasst das cmake-Build-System für Rust, cargo – den Rust-Paketmanager – und die LLVM-basierte Compiler-Toolchain für Rust. Die Pakete, die den einzelnen Themen zugeordnet sind, werden mit dem bekannten Yum-Installationsprozess verwendet.
F: Wie installiere ich ein Softwarepaket aus dem Amazon-Linux-Extras-Repository?
Verfügbare Pakete können mit dem Befehl amazon-linux-extras in der Amazon-Linux-2-Shell aufgelistet werden. Pakete von Extras können mit dem Befehl „sudo amazon-linux-extras install“ installiert werden.
Beispiel: $ sudo amazon-linux-extras install rust1
Weitere Informationen zu den ersten Schritten mit Amazon Linux Extras finden Sie in der Amazon-Linux-Dokumentation.
F: Werden Pakete in Extras mit Long Term Support in den „Kern“-Bereich verschoben?
Im Laufe der Zeit werden sich schnell weiterentwickelnde Technologien im Bereich Extras immer ausgereifter und stabilisieren und können dem „Kern“ von Amazon Linux 2 hinzugefügt werden, für den die Richtlinien für den langfristigen Support gelten.
ISV-Unterstützung
F: Welche Drittanbieter-Anwendungen werden für die Ausführung auf Amazon Linux 2 unterstützt?
Amazon Linux 2 verfügt über eine schnell wachsende Community unabhängiger Softwareanbieter (ISVs), darunter Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX und mehr.
Eine vollständige Liste der unterstützten ISV-Anwendungen finden Sie auf der Amazon-Linux-2-Seite
Um Ihre Anwendung mit Amazon Linux 2 zertifizieren zu lassen, kontaktieren Sie uns.
Kernel-Live-Patching
F: Was ist Kernel-Live-Patching in Amazon Linux 2?
Kernel-Live-Patching in Amazon Linux 2 ist eine Funktion, die es ermöglicht, Sicherheits- und Bugfixes auf einen laufenden Linux-Kernel anzuwenden, ohne dass ein Neustart erforderlich ist. Live-Patches für den Amazon Linux Kernel werden an die vorhandenen Paket-Repositorys für Amazon Linux 2 geliefert und können mit regulären Yum-Befehlen wie „yum update –security“ angewendet werden, wenn die Funktion aktiviert wurde.
F: Was sind die Anwendungsfälle für Kernel Live Patching in Amazon Linux 2?
Zu den Anwendungsfällen, auf die Kernel Live Patching in Amazon Linux 2 abzielt, gehören:
- Notfall-Patching zur Behebung schwerwiegender Sicherheitslücken und Datenbeschädigungen ohne Serviceausfälle.
- Anwenden von Betriebssystemaktualisierungen, ohne darauf zu warten, dass lang andauernde Aufgaben abgeschlossen sind, Benutzer sich abmelden oder auf geplante Neustartzeitfenster für die Installation von Sicherheitsupdates warten müssen.
- Beschleunigte Einführung von Sicherheitspatches, indem fortlaufende Neustarts, die in hochverfügbaren Systemen erforderlich sind, vermieden werden
F: Wann stellt AWS-Kernel-Live-Patches zur Verfügung?
AWS stellt in der Regel Kernel-Live-Patches zur Verfügung, um CVEs zu reparieren, die von AWS als kritisch und wichtig eingestuft werden, für den standardmäßigen Amazon-Linux-2-Kernel. Die Einstufungen der Amazon Linux Security Advisory als kritisch und wichtig entsprechen in der Regel dem Common-Vulnerability-Scoring-System-Score (CVSS) von 7 und höher. Darüber hinaus wird AWS auch Kernel-Live-Patches für ausgewählte Fehlerkorrekturen bereitstellen, um Probleme mit der Systemstabilität und potenzielle Datenbeschädigungen zu beheben. Möglicherweise gibt es eine kleine Anzahl von Problemen, für die trotz ihres Schweregrads aufgrund technischer Einschränkungen keine Kernel-Live-Patches bereitgestellt werden. Beispielsweise erhalten Fixes, die den Assemblercode ändern oder Funktionssignaturen ändern, möglicherweise keine Kernel-Live-Patches. Kernel in Amazon Linux 2 Extras und Software von Drittanbietern, die nicht von AWS erstellt und bereitgestellt wurden, erhalten keine Kernel-Live-Patches.
F: Sind mit der Nutzung von Kernel Live Patching in Amazon Linux 2 Gebühren verbunden?
Wir stellen Kernel-Live-Patches für Amazon Linux 2 kostenlos zur Verfügung.
F: Wie verwende ich Kernel Live Patching in Amazon Linux 2?
Kernel-Live-Patches werden von Amazon bereitgestellt und können mit dem yum-Paketmanager und den Dienstprogrammen in Amazon Linux 2 und AWS Systems Manager Patch Manager verwendet werden. Jeder Kernel-Live-Patch wird als RPM-Paket bereitgestellt. Kernel Live Patching ist derzeit in Amazon Linux 2 standardmäßig deaktiviert. Sie können das verfügbare Yum-Plugin verwenden, um Kernel Live Patching zu aktivieren und zu deaktivieren. Anschließend können Sie die vorhandenen Workflows im Yum-Hilfsprogramm verwenden, um Sicherheitspatches, einschließlich Kernel-Live-Patches, anzuwenden. Darüber hinaus kann das Befehlszeilenprogramm kpatch verwendet werden, um Kernel-Live-Patches aufzuzählen, anzuwenden und zu aktivieren/deaktivieren.
- „sudo yum install -y yum-plugin-kernel-livepatch“ installiert das Yum-Plugin für die Kernel-Live-Patching-Funktion auf Amazon Linux.
- „sudo yum kernel-livepatch enable -y“ aktiviert das Plugin.
- „sudo systemctl enable kpatch.service“ aktiviert den Kpatch Service, die Kernel-Live-Patching-Infrastruktur, die in Amazon Linux verwendet wird.
- „sudo amazon-linux-extras enable livepatch“ fügt die Endpunkte des Kernel-Live-Patch-Repositorys hinzu.
- „yum check-update kernel“ zeigt die Liste der verfügbaren Kernel an, die aktualisiert werden können.
- „yum updateinfo list“ listet verfügbare Sicherheitsupdates auf.
- „sudo yum update --security“ installiert verfügbare Patches, einschließlich Kernel-Live-Patches, die als Sicherheitskorrekturen verfügbar sind.
- „kpatch list“, um alle geladenen Kernel-Live-Patches aufzulisten.
F: Unterstützt AWS Systems Manager Patch Manager Live-Patching?
Ja. Sie können AWS SSM Patch Manager verwenden, um die Anwendung von Kernel-Live-Patches zu automatisieren, ohne dass ein sofortiger Neustart erforderlich ist, wenn der Patch als Live-Patch verfügbar ist. Besuchen Sie die SSM-Patch-Manager-Dokumentation, um loszulegen.
F: Wo finde ich Details zu Sicherheitspatches, die über Kernel Live Patching bereitgestellt werden?
AWS veröffentlicht Details zu Kernel-Live-Patches zur Behebung von Sicherheitslücken im Amazon Linux Security Center.
F: Gibt es irgendwelche Einschränkungen bei der Verwendung von Kernel Live Patching?
Während Sie einen Kernel-Live-Patch in Amazon Linux 2 anwenden, können Sie nicht gleichzeitig den Ruhezustand ausführen oder erweiterte Debugging-Tools wie SystemTap, kprobes, eBPF-basierte Tools verwenden und auf ftrace-Ausgabedateien zugreifen, die von der Kernel-Live-Patching-Infrastruktur verwendet werden.
F: Wie behebe ich Probleme, die beim Anwenden von Kernel-Live-Patches auf Amazon Linux 2 auftreten können?
Wenn Sie Probleme mit einem Kernel-Live-Patch haben, deaktivieren Sie den Patch und informieren Sie den AWS-Support oder Amazon Linux Engineering über einen Beitrag in den AWS-Foren.
F: Macht Kernel Live Patching in Amazon Linux 2 Neustarts zum Anwenden von Sicherheitspatches vollständig überflüssig?
Das Kernel-Live-Patching in Amazon Linux 2 macht Betriebssystemneustarts nicht vollständig überflüssig, bietet jedoch eine erhebliche Erleichterung bei Neustarts, um wichtige und kritische Sicherheitsprobleme außerhalb der geplanten Wartungsfenster zu beheben. Jeder Linux-Kernel in Amazon Linux 2 erhält nach der Veröffentlichung eines Amazon Linux Kernels etwa 3 Monate lang Live-Patches. Nach jeder Laufzeit von 3 Monaten muss das Betriebssystem mit dem neuesten Amazon Linux-Kernel neu gestartet werden, um weiterhin Kernel-Live-Patches zu erhalten.
F: Auf welchen EC2-Instances und lokalen Umgebungen wird Kernel Live Patching mit Amazon Linux 2 unterstützt?
Kernel Live Patching in Amazon Linux 2 wird auf allen x86_64-Plattformen (AMD/Intel 64 Bit) unterstützt, auf denen Amazon Linux 2 unterstützt wird. Dazu gehören alle HVM EC2-Instanzen, VMware Cloud on AWS, VMware ESXi, VirtualBox, KVM, Hyper-V und KVM. ARM-basierte Plattformen werden derzeit nicht unterstützt.
F: Wird AWS weiterhin reguläre („non-live“) Patches für Betriebssystemupdates bereitstellen, die mit Kernel-Live-Patches geliefert werden?
Ja, AWS wird weiterhin regelmäßig Patches für alle Betriebssystem-Updates bereitstellen. In der Regel werden sowohl reguläre als auch Kernel-Live-Patches gleichzeitig bereitgestellt.
F: Was passiert, wenn auf Amazon-Linux-2-Systemen, für die ein Kernel-Live-Patch installiert wurde, ein Neustart durchgeführt wird?
Standardmäßig werden Kernel-Live-Patches bei einem Neustart durch reguläre Patch-Äquivalente ersetzt, die nicht live sind. Sie können auch Neustarts durchführen, ohne Kernel-Live-Patches durch reguläre Patches zu ersetzen. Einzelheiten finden Sie in der Dokumentation zum Amazon Linux 2 Kernel Live Patching.
F: Beeinträchtigt Kernel Live Patching die ABI-Kompatibilität von Amazon Linux 2?
Kernel-Live-Patching in Amazon Linux 2 ändert nichts an der Kernel-ABI-Kompatibilität von Amazon Linux 2.
F: Wie kann ich Premium-Support für Probleme erhalten, die beim Anwenden von Kernel-Live-Patches auftreten können?
Die Business- und Enterprise-AWS-Supportpläne beinhalten Premium-Support für alle Funktionen von Amazon Linux, einschließlich Kernel Live Patching. AWS unterstützt nur von AWS bereitgestellte Kernel-Live-Patches und empfiehlt, sich bei Problemen mit Kernel-Live-Patching-Lösungen von Drittanbietern an Ihren Anbieter zu wenden. AWS empfiehlt außerdem, dass Sie unter Amazon Linux 2 nur eine Kernel-Live-Patching-Lösung verwenden.
F: Wie werden Kernel-Live-Patches im Amazon Linux Security Center angezeigt?
Für jeden Kernel-Live-Patch wird in den Amazon Linux Security Center-Listen eine eigene Zeile angezeigt. <kernel-version>Der Eintrag wird eine Kennung wie „ALASLIVEPATCH-“ haben<datestamp>, und der Paketname wird als „kernel-livepatch-“ erscheinen.
F: Wie lange erhält ein Amazon-Linux-Kernel Live-Patches?
Eine Kernelversion wird ungefähr 3 Monate lang Live-Patches erhalten. Amazon Linux wird Kernel-Live-Patches für die letzten 6 veröffentlichten Kernel bereitstellen. Bitte beachten Sie, dass Kernel Live Patching nur auf dem in Amazon Linux 2 veröffentlichten Standardkernel unterstützt wird. Der Kernel der nächsten Generation in den Extras wird keine Kernel-Live-Patches erhalten.
Um herauszufinden, ob der aktuelle Linux-Kernel weiterhin Live-Patches empfängt oder nicht, und wenn dieses Unterstützungsfenster endet, verwenden Sie den folgenden yum-Befehl:
„yum kernel-livepatch supported“
F: Welche Yum-Workflows werden für Kernel Live Patching unterstützt?
Das Kernel-Live-Patching-Yum-Plugin unterstützt alle Workflows, die normalerweise im Yum-Paketverwaltungsprogramm unterstützt werden. z. B. „yum update“, „yum update kernel“, „yum update –security“, „yum update all“.
F: Sind Kernel-Live-Patches signiert?
Die Kernel-Live-Patch-RPMs werden über GPG-Schlüssel signiert. Die Kernelmodule sind derzeit jedoch nicht signiert.
Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
Einstieg in die Entwicklung mit Amazon Linux 2 in der AWS-Managementkonsole.