Eu gerencio algumas instâncias EC2 executando Amazon Linux (não tenho certeza de qual versão), que precisam de patches de segurança.
Muitos softwares foram bem corrigidos, mas paramos na atualização do kernel. Não podemos usar a versão mais recente do kernel como preferimos. O que nos fizemos?
- Obtenha a versão mais recente do kernel no repositório Amazon executando
yum update. O sistema informa que temos a versão mais recente do kernel conforme esperávamos e nada mais precisa ser atualizado. - Depois de obtermos a versão mais recente do kernel, reiniciamos o EC2 clicando em reiniciar no console do EC2. Após a reinicialização do EC2, verificamos a versão do kernel do EC2 com o comando
uname -r. Ele relata que ainda usamos a mesma versão do kernel, não a versão mais recente do kernel, como esperamos.
Qual é o ponto que perdemos? Por favor ajude.
Responder1
Você pode usar oamazon-linux-extrasrepositório para atualizar o kernel
Primeiro, execute este comando para obter todas as versões disponíveis do kernel
sudo amazon-linux-extras |grep kernel
você verá uma resposta semelhante a esta
_ kernel-5.4 available [ =stable ]
55 kernel-5.10=latest enabled [ =stable ]
62 kernel-5.15 available [ =stable ]
a versão do kernel marcada como habilitada é aquela instalada em sua máquina
para atualizar para a versão mais recente (por exemplo kernel-5.15), basta executar este comandosudo amazon-linux-extras install kernel-5.15 -y
Agora, você precisa reiniciar o servidor comsudo reboot
Após a reinicialização, execute o comando uname -rpara garantir que a versão mais recente foi instalada com sucesso
para obter mais informações, consulte estelink
Responder2
Patches dinâmicos do kernel estão disponíveis para Amazon Linux 2 com versão de kernel 4.14.165-131.185ou posterior. Para verificar a versão do seu kernel, execute o seguinte comando.
[root@actsupport ~]# yum list kernel
Se você já possui uma versão de kernel compatível, pule esta etapa. Se você não tiver uma versão de kernel compatível, execute os comandos a seguir para atualizar o kernel para a versão mais recente e reinicializar a instância.
[root@actsupport ~]# sudo yum install -y kernel
[root@actsupport ~]# reboot
Instale o plugin yum para Kernel Live Patching.
[root@actsupport ~]# yum install -y yum-plugin-kernel-livepatch
Habilite o plugin yum para Kernel Live Patching.
[root@actsupport ~]# yum kernel-livepatch enable -y
Este comando também instala a versão mais recente do RPM do patch ativo do kernel dos repositórios configurados.
Para confirmar se o plugin yum para patch ao vivo do kernel foi instalado com sucesso, execute o seguinte comando.
[root@actsupport ~]# rpm -qa | grep kernel-livepatch
Quando você habilita o Kernel Live Patching, um RPM de patch ativo do kernel vazio é aplicado automaticamente. Se o Kernel Live Patching tiver sido habilitado com êxito, este comando retornará uma lista que inclui o RPM inicial vazio do patch ativo do kernel.
Atualize e inicie o serviço kpatch. Este serviço carrega todos os patches ativos do kernel na inicialização ou na inicialização.
[root@actsupport ~]# yum update kpatch-runtime
[root@actsupport ~]# systemctl enable kpatch.service
Configure o repositório Amazon Linux 2 Kernel Live Patching, que contém os patches ativos do kernel.
[root@actsupport ~]# amazon-linux-extras enable livepatch