Domande frequenti su Amazon Linux 2023

Domande generali

Amazon Linux 2023 (AL2023) è una distribuzione Linux generica basata su rpm successiva ad Amazon Linux 2. AL2023 semplifica la pianificazione degli aggiornamenti del sistema operativo. A partire da AL2023, una nuova versione principale di Amazon Linux viene rilasciata ogni due anni, include rilasci trimestrali secondari e viene fornita con cinque anni di supporto a lungo termine. Amazon Linux 2023 si integra con i servizi AWS ed è progettato per l'implementazione su vasta scala nel cloud. Per impostazione predefinita, le immagini di container e le AMI di AL2023 si bloccano su una versione specifica del repository di pacchetti, così da garantire un comportamento deterministico e semplificare gli aggiornamenti del sistema operativo in ambienti di integrazione e implementazione continue.

Puoi usare la pagina GitHub di Amazon Linux 2023 o segnalare un bug o un problema con il tuo team di account.

Una nuova versione principale viene rilasciata ogni due anni e viene fornita con cinque anni di supporto a lungo termine, con ogni versione composta da due fasi: fase di sviluppo attivo (2 anni) e fase di manutenzione (3 anni). Nella fase di sviluppo attivo, la versione riceve aggiornamenti trimestrali delle versioni secondarie. Ogni versione secondaria è un elenco cumulativo di aggiornamenti che include la sicurezza e correzioni di bug oltre alle nuove funzionalità e pacchetti. Durante la fase di manutenzione, una versione riceve solo aggiornamenti di sicurezza e correzioni di bug critici che verranno pubblicati non appena disponibili. È possibile visualizzare lo stato di qualsiasi vulnerabilità di sicurezza nota sulla pagina del Centro di sicurezza di AL2023. Ogni volta che vengono rilasciati nuovi repository, viene rilasciata anche una nuova Amazon Machine Image Linux.

Le versioni principali di Amazon Linux includeranno nuove funzionalità e miglioramenti della sicurezza e delle prestazioni in tutto lo stack, inclusi kernel, toolchain, glibc, openssl e tutte le altre librerie e utilità di sistema. Le versioni principali di Amazon Linux saranno basate in parte sulla versione corrente della distribuzione Fedora Linux upstream, sebbene Amazon possa scegliere di aggiungere o sostituire pacchetti specifici da altri upstream non Fedora (ad esempio, il kernel Linux proviene dal supporto a lungo termine di kernel.org scelte ed è mantenuto specificamente per i prodotti Linux di Amazon). Dovresti aspettarti aggiornamenti di rilascio principali per i pacchetti nel repository che a volte non sono compatibili con le versioni precedenti. Forniremo un elenco completo delle modifiche tra le versioni principali. Le versioni secondarie trimestrali includeranno aggiornamenti di sicurezza, correzioni di bug e nuove funzionalità e pacchetti. Esempi di modifiche nelle versioni secondarie includono i runtime di linguaggi più recenti, come PHP e altri pacchetti software popolari come Ansible e Docker. Durante la fase di manutenzione, una versione riceve solo aggiornamenti di sicurezza e correzioni di bug critici che verranno pubblicati non appena disponibili.

Gli aggiornamenti vengono forniti tramite una combinazione di nuove versioni di AMI (Amazon Machine Image) e nuovi repository corrispondenti. Per impostazione predefinita, una nuova AMI e il repository a cui fa riferimento sono accoppiati, ma è possibile indirizzare le proprie istanze Amazon EC2 in esecuzione a versioni del repository più recenti nel tempo per utilizzare gli aggiornamenti sulle istanze in esecuzione. È possibile aggiornare anche avviando nuove istanze delle ultime AMI.

AL2023 si blocca su una versione specifica del tuo repository (questa può essere qualsiasi versione principale o secondaria). L'AMI AL2023 esposta tramite i nostri parametri SSM sarà sempre l'ultima e avrà i pacchetti e gli aggiornamenti più aggiornati, inclusi gli aggiornamenti di sicurezza critici e importanti. Se si avvia un'istanza EC2 utilizzando l'AMI AL2023 tramite la procedura guidata di avvio, si avranno sempre gli ultimi aggiornamenti. Tuttavia, se si avvia un'istanza da un'AMI precedente, nessun aggiornamento verrà applicato automaticamente e tutti i pacchetti aggiuntivi installati nell'ambito del provisioning verranno mappati alla versione del repository da cui è stata creata l'AMI precedente. Ciò consente di garantire la coerenza delle versioni del pacchetto e degli aggiornamenti nel tuo ambiente, soprattutto se si stanno avviando più istanze dalla stessa AMI. È possibile applicare gli aggiornamenti in base alla pianificazione che più si adatta alle proprie esigenze. È possibile anche applicare un set specifico di aggiornamenti all'avvio, poiché anche questi possono essere bloccati su una versione specifica del repository. Per maggiori dettagli, consulta la documentazione.

Ogni volta che rilasceremo una nuova versione (versione principale, versione secondaria o versione di sicurezza), rilasceremo anche una nuova Amazon Machine Image (AMI) Linux.

Quando pubblichiamo una nuova versione dei repository AL2023, tutte le versioni precedenti saranno ancora disponibili. Per impostazione predefinita, il plug-in per la gestione delle versioni del repository si bloccherà sulla stessa versione utilizzata per creare l'AMI. Se è necessario controllare gli aggiornamenti dei pacchetti, è possibile scoprire le versioni del repository disponibili eseguendo "dnf check-release-update" e selezionare una versione eseguendo il commando elencato, "dnf —releasever=version update". A quel punto, "dnf install" o "dnf upgrade" sceglieranno solo i pacchetti dalla versione del repository selezionata. Se non è necessario controllare gli aggiornamenti dei pacchetti, è possibile selezionare la versione "più recente", che punterà sempre alla versione più recente dei repository AL2023. Se si utilizza Amazon Linux 2, viene ripristinato il comportamento legacy per gli aggiornamenti dei pacchetti che potrebbero essere previsti dall'utente e dai flussi di lavoro delle patch esistenti.

Non in una configurazione di default. Per impostazione predefinita, il plug-in per la gestione delle versioni del repository si bloccherà sulla stessa versione utilizzata per creare l'AMI e non verrà applicato alcun aggiornamento di sicurezza. È sempre possibile modificare la configurazione di default per ricevere automaticamente gli aggiornamenti dei pacchetti. È possibile anche specificare di ricevere solo gli aggiornamenti di sicurezza. Per maggiori dettagli, consulta la documentazione.

AWS fornisce un'Amazon Machine Image (AMI) per Amazon Linux 2023 che è possibile utilizzare per avviare un'istanza dalla console Amazon EC2, dall'SDK AWS e dalla CLI. Fare riferimento alla documentazione di Amazon Linux 2023 per maggiori dettagli.

AL2023 le immagini possono essere utilizzate al di fuori di AWS, tuttavia, queste immagini non sono coperte dai piani di supporto AWS se utilizzate all'esterno.

No, non sono previsti costi aggiuntivi per l'utilizzo di Amazon Linux 2023. Si applicano le tariffe standard di Amazon EC2 e AWS per l'esecuzione delle istanze Amazon EC2 e di altri servizi.

AL2023 è un'ottima opzione se si sta cercando un sistema operativo Linux generico da utilizzare su AWS. AL2023 è ottimizzato per Amazon EC2, è ben integrato con le ultime funzionalità di AWS e offre un'esperienza integrata con molti strumenti specifici di AWS (AWS Systems Manager e AWS CLI). Se si utilizza Amazon Linux AMI (AL1) o Amazon Linux 2 (AL2), considerare di provare AL2023 poiché combina i vantaggi di entrambi. Oltre a fornire aggiornamenti frequenti e supporto a lungo termine, Amazon Linux 2023 offre cadenza di rilascio, flessibilità e controllo prevedibili sui nuovi aggiornamenti software ed elimina il sovraccarico operativo derivante dalla creazione di policy personalizzate per soddisfare i requisiti di conformità standard.

No, AL2023 non dispone di extra. Per i pacchetti software di livello superiore come i runtime di linguaggi, utilizzeremo la versione trimestrale in cui aggiungeremo aggiornamenti principali/secondari ai pacchetti come pacchetti con spazio dei nomi separati oltre al pacchetto di default fornito nel repository. Ad esempio, la versione di default di Python in Amazon Linux 2023 potrebbe essere 3.8, ma aggiungeremo Python 3.9 (python39) come pacchetto con spazio dei nomi separato ogni volta che sarà reso disponibile. Questi pacchetti aggiuntivi seguiranno da vicino la cadenza di rilascio a monte e il modello di supporto e le relative policy di supporto sono accessibili dal gestore dei pacchetti per casi d'uso di conformità e sicurezza. I pacchetti di default continueranno a essere supportati per tutta la durata di AL2023.

Il feedback su Amazon Linux 2023 può essere fornito mediante il rappresentante AWS designato, i forum di discussione di Amazon Linux o la pagina GitHub di Amazon Linux 2023. 

Policy di aggiornamento

Le versioni principali (ogni due anni) includeranno nuove funzionalità e miglioramenti della sicurezza e delle prestazioni in tutto lo stack, inclusi kernel, toolchain, glibc, openssl e tutte le altre librerie e utilità di sistema. Le versioni principali di AL2023 saranno basate in parte sulla versione corrente della distribuzione Fedora Linux upstream, sebbene Amazon possa scegliere di aggiungere o sostituire pacchetti specifici da altri upstream non Fedora (ad esempio, il kernel Linux proviene dal supporto a lungo termine di kernel.org scelte ed è mantenuto specificamente per i prodotti Linux di Amazon). Dovresti aspettarti aggiornamenti di rilascio principali per i pacchetti nel repository che a volte non sono compatibili con le versioni precedenti. Forniremo un elenco completo delle modifiche tra le versioni principali e sarai in grado di eseguire l'aggiornamento sul posto a livello di pacchetto.

Le versioni secondarie trimestrali (1.1, 1.2) includeranno aggiornamenti di sicurezza, correzioni di bug e nuove funzionalità e pacchetti. Esempi di versioni secondarie includono i runtime di linguaggi più recenti, come PHP e altri pacchetti software popolari come Ansible e Docker. Le versioni secondarie non apportano modifiche che interrompono la compatibilità delle applicazioni. Ad esempio, le versioni di default dei runtime di linguaggi rimarranno stabili mentre la versione più recente dei runtime di linguaggi viene fornita nel repository come nuovi pacchetti.

Gli aggiornamenti vengono forniti tramite una combinazione di nuove versioni di AMI (Amazon Machine Image) e nuovi repository corrispondenti. Per impostazione predefinita, una nuova AMI e il repository a cui fa riferimento sono accoppiati, ma è possibile indirizzare le proprie istanze Amazon EC2 in esecuzione a versioni del repository più recenti nel tempo per utilizzare gli aggiornamenti sulle istanze in esecuzione. È possibile aggiornare anche avviando nuove istanze delle ultime AMI.

AL2023 si blocca su una versione specifica del repository in uso. L'AMI AL2023 visualizzata nella procedura di avvio di EC2 sarà sempre l'ultima e avrà i pacchetti e gli aggiornamenti più aggiornati, inclusi gli aggiornamenti di sicurezza critici e importanti. Se si avvia un'istanza EC2 utilizzando l'AMI AL2023 tramite la procedura guidata di avvio, si avranno sempre gli ultimi aggiornamenti (come l'esperienza attuale con AL2). Tuttavia, se si avvia un'istanza da un'AMI precedente, nessun aggiornamento verrà applicato automaticamente e tutti i pacchetti aggiuntivi installati nell'ambito del provisioning verranno mappati alla versione del repository da cui è stata creata l'AMI precedente. Ciò consente di garantire la coerenza delle versioni del pacchetto e degli aggiornamenti nel tuo ambiente, soprattutto se si stanno avviando più istanze dalla stessa AMI. È possibile applicare gli aggiornamenti in base alla pianificazione che più si adatta alle proprie esigenze.

Quando pubblichiamo una nuova versione dei repository AL2023, tutte le versioni precedenti saranno ancora disponibili. Per impostazione predefinita, il plug-in per la gestione delle versioni del repository si bloccherà sulla stessa versione utilizzata per creare l'AMI. Se è necessario controllare gli aggiornamenti dei pacchetti, è possibile scoprire le versioni del repository disponibili eseguendo "dnf check-release-update" e selezionare una versione eseguendo il commando elencato, "dnf —releasever=version update". A quel punto, "dnf install" o "dnf upgrade" sceglieranno solo i pacchetti dalla versione del repository selezionata. Se non è necessario controllare gli aggiornamenti dei pacchetti, è possibile selezionare la versione "più recente", che punterà sempre alla versione più recente dei repository AL2023. Ciò ripristina il comportamento legacy per gli aggiornamenti dei pacchetti che potrebbero essere previsti dall'utente e dai flussi di lavoro delle patch esistenti.

Sicurezza

Sì. SELinux è un modulo di sicurezza che fornisce policy di controllo degli accessi. È ampiamente utilizzato nel settore per bloccare i server Linux e per proteggere da attività dannose. Le principali applicazioni all'interno di AL2023 prevedono policy SELinux preconfigurate che aiutano a soddisfare i requisiti di conformità.

Per impostazione predefinita, SELinux di AL2023 si trova in modalità permissiva. È possibile modificare le impostazioni di SELinux in modalità applicata mediante la riga di comando eseguendo "setenforce" o eseguendo questo comando all'avvio da cloud-init userdata. Quando viene riavviata, l'istanza ricorderà e utilizzerà l'impostazione SELinux specificata la prima volta a meno che non venga modificata. Per maggiori dettagli, consulta la documentazione di AL2023.

Per conoscere tutti i dettagli, consulta le note di rilascio di Amazon Linux 2023. Alcune delle modifiche previste tra le versioni Release Candidate e GA sono l'agente di ibernazione e la registrazione delle AMI per l'avvio esclusivo con IMDSv2 (IMDSv1 verrà cioè disabilitato) per impostazione predefinita.

Come la maggior parte delle distribuzioni Linux, Amazon Linux esegue regolarmente il backport delle correzioni di sicurezza alle versioni stabili dei pacchetti distribuite nei suoi repository. Quando questi pacchetti vengono aggiornati con un backport, il bollettino sulla sicurezza di Amazon Linux relativo al problema in questione elencherà le versioni specifiche del pacchetto in cui il problema è stato risolto per Amazon Linux. Gli scanner di sicurezza che si basano sul controllo delle versioni degli autori di un progetto a volte non rilevano che una determinata correzione CVE è stata applicata in una versione precedente. I clienti possono rivolgersi all'Amazon Linux Security Center (ALAS) per aggiornamenti su problemi e correzioni di sicurezza.

DOMANDE FREQUENTI SU FIPS AL2023

La pubblicazione 140-3 del Federal Information Processing Standard (FIPS) contiene standard e linee guida per la protezione e la crittografia dei dati per i sistemi informatici federali. È stato sviluppato dal National Institute of Standards and Technology (NIST), dal Canadian Centre for Cyber Security (CCCS) e dai gruppi di lavoro del settore per convalidare l'efficacia dei moduli crittografici. FIPS 140-3 è in linea con lo standard ISO/IEC 19790 e introduce nuovi miglioramenti ai requisiti di sicurezza relativi allo standard FIPS 140-2, ora ritirato.

Per abilitare la modalità FIPS su AL2023, scarica i pacchetti richiesti sulla tua istanza Amazon EC2 e connettiti ad essa per attivare la modalità FIPS. Per istruzioni dettagliate, consulta la nostra sezione Abilita la modalità FIPS.

I moduli crittografici Amazon Linux 2023 (OpenSSL, NSS, Libgcrypt, Kernel, GnuTLS) sono stati inviati per la convalida FIPS 140-3. A partire dal 2024-02-02, tutti e 5 i moduli crittografici sono nell'elenco FIPS Module in Process (MIP). L'elenco MIP contiene moduli crittografici che hanno completato tutti i test FIPS e sono in attesa della revisione e dell'emissione del certificato da parte del CMVP. Il Cryptographic Module Validation Program (CMVP) è uno sforzo congiunto tra il National Institute of Standards and Technology del Dipartimento del Commercio e il Canadian Centre for Cyber Security, una filiale del Communications Security Establishment. Visita il sito web del Cryptographic Module Validation Program (CMVP) per conoscere lo stato FIPS dei moduli crittografici AL2023.

I clienti potrebbero essere in grado di utilizzare i moduli crittografici AL2023 mentre i moduli sono nell'elenco MIP. AWS consiglia ai clienti di consultare il proprio team addetto alla conformità per verificare se l'uso dei moduli crittografici AL2023 per i carichi di lavoro richiesti dal FIPS sia accettabile e per ottenere le approvazioni quando necessario. 

Nome del modulo crittografico Pacchetti associati Stato di convalida
Modulo crittografico Amazon Linux 2023 OpenSSL OpenSSL 3.0.8 Elenco dei moduli in corso
Modulo crittografico Amazon Linux 2023 NSS NSS 3.88 Elenco dei moduli in corso
Modulo crittografico Amazon Linux 2023 Libgcrypt Libgcrypt 1.10.2 Elenco dei moduli in corso
Modulo crittografico Amazon Linux 2023 Kernel Crypto API Kernel 6.1.41 Validazione FIPS
Modulo crittografico Amazon Linux 2023 GnuTLS GnuTLS 3.8.0 Elenco dei moduli in corso

AL2023 OpenSSL, NSS, Libgcyprt, Kernel e GnuTLS sono stati testati su Intel, AMD e Graviton. I dettagli saranno elencati nei certificati finali.

Supporto a lungo termine

AL2023 fornisce aggiornamenti per i suoi pacchetti e manterrà la compatibilità all'interno di una versione principale per le applicazioni dei clienti basate su AL2023. I pacchetti principali, come glibc, openssl, openssh e il gestore di pacchetti dnf, ricevono supporto per tutta la durata della versione principale di AL2023. I pacchetti che non fanno parte dei pacchetti principali riceveranno il supporto definito dalle loro origini a monte. È possibile visualizzare lo stato del supporto specifico e le date dei singoli pacchetti eseguendo il comando 'dnf supportinfo packagename'. L'elenco completo dei pacchetti principali verrà finalizzato durante l'anteprima. Se si desidera vedere più pacchetti inclusi come pacchetti principali, comunicarcelo e valuteremo l'opzione mentre raccogliamo feedback. Il feedback su Amazon Linux 2023 può essere fornito tramite il rappresentante AWS designato, il forum di discussione di Amazon Linux o la pagina GitHub di Amazon Linux 2023.