Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Kernel Live Patching su AL2
**Importante**
Amazon Linux terminerà il live patching per AL2 Kernel 4.14 il 31/10/2025. Si consiglia ai clienti di utilizzare il kernel 5.10 come kernel predefinito per AL2 (vedere Kernel [supportati da AL2) o passare ad AL2023 con i kernel 6.1](https://docs.aws.amazon.com/linux/al2/ug/aml2-kernel.html) e 6.12.
Amazon Linux fornirà patch live per AL2 Kernel 5.10 fino alla fine del ciclo di vita di AL2 il 30 giugno 2026.
Kernel Live Patching for AL2 consente di applicare vulnerabilità di sicurezza specifiche e patch di bug critici a un kernel Linux in esecuzione, senza riavvii o interruzioni delle applicazioni in esecuzione. Ciò consente di beneficiare di una migliore disponibilità dei servizi e delle applicazioni, applicando le correzioni fino al riavvio del sistema.
*Per informazioni su Kernel Live Patching per AL2023, consulta [Kernel Live Patching on AL2023 nella Amazon Linux 2023 User Guide](https://docs.aws.amazon.com/linux/al2023/ug/live-patching.html).*
AWS rilascia due tipi di patch live del kernel per AL2:
+ **Aggiornamenti di sicurezza**: includono aggiornamenti per CVE (Common Vulnerabilities and Exposures) di Linux. Questi aggiornamenti sono in genere classificati come *importanti* o *critici* utilizzando le classificazioni di Amazon Linux Security Advisory. Generalmente vengono mappati a un punteggio CVSS (Common Vulnerability Scoring System) di 7 o superiore. In alcuni casi, AWS potrebbe fornire aggiornamenti prima dell'assegnazione di un CVE. In questi casi, le patch potrebbero apparire come correzioni di bug.
+ **Correzioni di bug**: include correzioni per bug critici e problemi di stabilità che non sono associati ai CVE.
AWS fornisce patch live del kernel per una versione del kernel AL2 per un massimo di 3 mesi dopo il suo rilascio. Dopo il periodo di 3 mesi, è necessario eseguire l'aggiornamento a una versione del kernel successiva per continuare a ricevere patch live del kernel.
Le patch live del kernel AL2 sono rese disponibili come pacchetti RPM firmati nei repository AL2 esistenti. Le patch possono essere installate su singole istanze utilizzando i flussi di lavoro **yum** esistenti oppure possono essere installate su un gruppo di istanze gestite utilizzando Systems Manager. AWS
Kernel Live Patching su AL2 viene fornito senza costi aggiuntivi.
**Topics**
+ [Configurazioni e prerequisiti supportati](#al2-live-patching-prereq)
+ [Utilizzo di Kernel Live Patching](#working-with-live-patching)
+ [Limitazioni](#al2-live-patching-limitations)
+ [Domande frequenti](#al2-live-patching-faq)
## Configurazioni e prerequisiti supportati
Kernel Live Patching è supportato su istanze Amazon EC2 [e macchine virtuali locali](amazon-linux-2-virtual-machine.md) che eseguono AL2.
Per utilizzare Kernel Live Patching su AL2, devi usare:
+ Versione del kernel `4.14` o `5.10` sull'architettura `x86_64`
+ Versione del kernel `5.10` sull'architettura `ARM64`
**Requisiti per le policy**
Per scaricare pacchetti dai repository Amazon Linux, Amazon EC2 deve accedere ai bucket Amazon S3 di proprietà del servizio. Se utilizzi un endpoint del cloud privato virtuale (VPC) di Amazon per Amazon S3 nel tuo ambiente, devi assicurarti che la policy degli endpoint VPC consenta l'accesso a tali bucket pubblici.
La tabella descrive ciascuno dei bucket Amazon S3 di cui EC2 potrebbe aver bisogno per accedere a Kernel Live Patching.
| ARN di bucket S3 | Description |
| --- | --- |
| arn:aws:s3: :pacchetti. {{region}}.amazonaws.com/\* | Bucket Amazon S3 contenente i pacchetti AMI Amazon Linux |
| arn:aws:s3: ::repo. {{region}}.amazonaws.com/\* | Bucket Amazon S3 contenente i repository AMI Amazon Linux |
| arn:aws:s3: ::amazonlinux. {{region}}.amazonaws.com/\* | Bucket Amazon S3 contenente repository AL2 |
| arn:aws:s3: :amazonlinux-2-repos- /\* {{region}} | Bucket Amazon S3 contenente repository AL2 |
La policy seguente illustra come limitare l'accesso alle identità e alle risorse che appartengono alla tua organizzazione e fornire l'accesso ai bucket Amazon S3 richiesti per Kernel Live Patching. Sostituisci {{region}} {{principal-org-id}} e {{resource-org-id}} con i valori della tua organizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "{{principal-org-id}}",
"aws:ResourceOrgID": "{{resource-org-id}}"
}
}
},
{
"Sid": "AllowAccessToAmazonLinuxAMIRepositories",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::packages.{{region}}.amazonaws.com/*",
"arn:aws:s3:::repo.{{region}}.amazonaws.com/*",
"arn:aws:s3:::amazonlinux.{{region}}.amazonaws.com/*",
"arn:aws:s3:::amazonlinux-2-repos-{{region}}/*"
]
}
]
}
```
------
## Utilizzo di Kernel Live Patching
È possibile abilitare e utilizzare Kernel Live Patching su singole istanze utilizzando la riga di comando sull'istanza stessa oppure è possibile abilitare e utilizzare Kernel Live Patching su un gruppo di istanze gestite utilizzando Systems Manager. AWS
Le sezioni seguenti spiegano come abilitare e utilizzare Kernel Live Patching su singole istanze utilizzando la riga di comando.
*Per ulteriori informazioni sull'attivazione e l'utilizzo di Kernel Live Patching su un gruppo di istanze gestite, consulta [Use Kernel Live Patching su istanze AL2 nella](https://docs.aws.amazon.com/systems-manager/latest/userguide/kernel-live-patching.html) Guida per l'utente.AWS Systems Manager *
**Topics**
+ [Abilitazione di Kernel Live Patching](#al2-live-patching-enable)
+ [Visualizzazione delle patch live del kernel disponibili](#al2-live-patching-view-available)
+ [Applicazione delle patch live del kernel](#al2-live-patching-apply)
+ [Visualizzazione delle patch live del kernel applicate](#al2-live-patching-view)
+ [Disabilitazione di Kernel Live Patching](#al2-live-patching-disable)
### Abilitazione di Kernel Live Patching
Kernel Live Patching è disabilitato per impostazione predefinita su AL2. Per utilizzare l'applicazione di patch live, è necessario installare il plugin **yum** per Kernel Live Patching e abilitare la funzionalità di applicazione di patch live.
**Prerequisiti**
L'applicazione di patch live del kernel richiede `binutils`. Se `binutils` non è stato installato, installarlo utilizzando il seguente comando:
```
$ sudo yum install binutils
```
**Per abilitare Kernel Live Patching**
1. Le patch live del kernel sono disponibili per le seguenti versioni del kernel AL2:
+ Versione del kernel `4.14` o `5.10` sull'architettura `x86_64`
+ Versione del kernel `5.10` sull'architettura `ARM64`
Per controllare la versione del kernel, eseguire il seguente comando.
```
$ sudo yum list kernel
```
1. Se si dispone già di una versione del kernel supportata, ignorare questa fase. Se non si dispone di una versione del kernel supportata, eseguire i seguenti comandi per aggiornare il kernel alla versione più recente e riavviare l'istanza.
```
$ sudo yum install -y kernel
```
```
$ sudo reboot
```
1. Installare il plugin **yum** per Kernel Live Patching.
```
$ sudo yum install -y yum-plugin-kernel-livepatch
```
1. Abilitare il plugin **yum** per Kernel Live Patching.
```
$ sudo yum kernel-livepatch enable -y
```
Questo comando installa anche l'ultima versione dell'RPM della patch live del kernel dai repository configurati.
1. Per confermare che il plugin **yum** per Kernel Live Patching è stato installato correttamente, eseguire il seguente comando.
```
$ rpm -qa | grep kernel-livepatch
```
Quando si abilita Kernel Live Patching, viene automaticamente applicata una RPM della patch live del kernel vuota. Se Kernel Live Patching è stata abilitata correttamente, questo comando restituisce un elenco che include l'RPM della patch live del kernel vuota iniziale. Di seguito è riportato un output di esempio.
```
yum-plugin-kernel-livepatch-1.0-0.11.amzn2.noarch
kernel-livepatch-5.10.102-99.473-1.0-0.amzn2.x86_64
```
1. Installare il pacchetto **kpatch**.
```
$ sudo yum install -y kpatch-runtime
```
1. Aggiornare il servizio **kpatch** se è stato precedentemente installato.
```
$ sudo yum update kpatch-runtime
```
1. Avviare il servizio **kpatch**. Questo servizio carica tutte le patch live del kernel dopo l'inizializzazione o l'avvio.
```
$ sudo systemctl enable kpatch.service && sudo systemctl start kpatch.service
```
1. Abilita l'argomento Kernel Live Patching nella libreria AL2 Extras. Questo argomento contiene le patch live del kernel.
```
$ sudo amazon-linux-extras enable livepatch
```
### Visualizzazione delle patch live del kernel disponibili
Gli avvisi di sicurezza di Amazon Linux vengono pubblicati nel Centro di Sicurezza Amazon Linux. [Per ulteriori informazioni sugli avvisi di sicurezza AL2, che includono avvisi per le patch live del kernel, consulta Amazon Linux Security Center.](https://alas.aws.amazon.com/alas2.html) Le patch live del kernel sono precedute da `ALASLIVEPATCH`. Centro di Sicurezza Amazon Linux potrebbe non elencare le patch live del kernel che risolvono i bug.
Puoi inoltre individuare le patch in tempo reale del kernel disponibili per gli advisory e i CVE utilizzando la riga di comando.
**Per elencare tutte le patch live del kernel disponibili per le consulenze**
Utilizzare il seguente comando.
```
$ yum updateinfo list
```
Di seguito viene mostrato l'output di esempio.
```
Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motd
ALAS2LIVEPATCH-2020-002 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
ALAS2LIVEPATCH-2020-005 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done
```
**Per elencare tutte le patch live del kernel disponibili per i CVE**
Utilizzare il seguente comando.
```
$ yum updateinfo list cves
```
Di seguito viene mostrato l'output di esempio.
```
Loaded plugins: extras_suggestions, kernel-livepatch, langpacks, priorities, update-motdamzn2-core/2/x86_64 | 2.4 kB 00:00:00
CVE-2019-15918 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2019-20096 important/Sec. kernel-livepatch-5.10.102-99.473-1.0-3.amzn2.x86_64
CVE-2020-8648 medium/Sec. kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
updateinfo list done
```
### Applicazione delle patch live del kernel
Le patch live del kernel vengono applicate utilizzando il gestore di pacchetti **yum** nello stesso modo in cui si applicano aggiornamenti regolari. Il plugin **yum** per Kernel Live Patching gestisce le patch live del kernel disponibili per l'applicazione.
**Suggerimento**
Si consiglia di aggiornare regolarmente il kernel utilizzando Kernel Live Patching per garantire che riceva correzioni di sicurezza specifiche, importanti e critiche fino al riavvio del sistema. Controlla anche se sono state rese disponibili correzioni aggiuntive al pacchetto kernel nativo che non possono essere distribuite come patch live e [aggiorna e riavvia con l'aggiornamento](https://docs.aws.amazon.com/linux/al2/ug/install-updates.html) del kernel in questi casi.
Puoi scegliere di applicare una patch live del kernel specifica o applicare qualsiasi patch live del kernel disponibile insieme ai normali aggiornamenti di sicurezza.
**Per applicare una patch live del kernel specifica**
1. Ottenere la versione della patch live del kernel utilizzando uno dei comandi descritti in [Visualizzazione delle patch live del kernel disponibili](#al2-live-patching-view-available).
1. Applica la kernel live patch per il tuo kernel AL2.
```
$ sudo yum install kernel-livepatch-{{kernel_version}}.x86_64
```
Ad esempio, il comando seguente applica una patch live del kernel per la versione del kernel AL2. `5.10.102-99.473`
```
$ sudo yum install kernel-livepatch-5.10.102-99.473-1.0-4.amzn2.x86_64
```
**Per applicare eventuali patch live del kernel disponibili insieme ai normali aggiornamenti di sicurezza**
Utilizzare il seguente comando.
```
$ sudo yum update --security
```
Omettere l'opzione `--security` per includere correzioni di bug.
**Importante**
La versione del kernel non viene aggiornata dopo l'applicazione delle patch live del kernel. La versione viene aggiornata alla nuova versione solo dopo il riavvio dell'istanza.
Un kernel AL2 riceve le patch live del kernel per un periodo di tre mesi. Dopo che è scaduto, non vengono rilasciate nuove patch live del kernel per tale versione del kernel. Per continuare a ricevere patch live del kernel dopo il periodo di tre mesi, è necessario riavviare l'istanza per passare alla nuova versione del kernel, che quindi continuerà a ricevere le patch live del kernel per i tre mesi successivi. Per controllare la finestra di supporto per la versione del kernel, eseguire `yum kernel-livepatch supported`.
### Visualizzazione delle patch live del kernel applicate
**Per visualizzare le patch live del kernel applicate**
Utilizzare il seguente comando.
```
$ kpatch list
```
Il comando restituisce un elenco delle patch live del kernel dell'aggiornamento di sicurezza caricato e installato. Di seguito è riportato un output di esempio.
```
Loaded patch modules:
livepatch_cifs_lease_buffer_len [enabled]
livepatch_CVE_2019_20096 [enabled]
livepatch_CVE_2020_8648 [enabled]
Installed patch modules:
livepatch_cifs_lease_buffer_len (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2019_20096 (5.10.102-99.473.amzn2.x86_64)
livepatch_CVE_2020_8648 (5.10.102-99.473.amzn2.x86_64)
```
**Nota**
Una singola patch live del kernel può includere e installare più patch live.
### Disabilitazione di Kernel Live Patching
Se non è più necessario utilizzare Kernel Live Patching, puoi disabilitarla in qualsiasi momento.
**Per disabilitare Kernel Live Patching**
1. Rimuovere i pacchetti RPM per le patch live del kernel applicate.
```
$ sudo yum kernel-livepatch disable
```
1. Disinstallare il plugin **yum** per Kernel Live Patching.
```
$ sudo yum remove yum-plugin-kernel-livepatch
```
1. Riavviare l’istanza.
```
$ sudo reboot
```
## Limitazioni
Kernel Live Patching presenta le seguenti restrizioni:
+ Durante l'applicazione di una patch live del kernel, non è possibile eseguire l'ibernazione, utilizzare strumenti di debug avanzati (come kprobes ed e BPF-based tools) o accedere ai SystemTap file di output di ftrace utilizzati dall'infrastruttura Kernel Live Patching.
+
**Nota**
A causa di limitazioni tecniche, alcuni problemi non possono essere risolti con live patching. Per questo motivo, queste correzioni non verranno incluse nel pacchetto kernel live patch ma solo nell'aggiornamento del pacchetto kernel nativo. È possibile installare l'[aggiornamento del pacchetto del kernel nativo e riavviare il sistema per attivare le patch](https://docs.aws.amazon.com/linux/al2/ug/install-updates.html) come al solito.
## Domande frequenti
Per domande frequenti su Kernel Live Patching for AL2, consulta le domande frequenti su [Amazon Linux 2 Kernel](https://aws.amazon.com//amazon-linux-2/faqs/) Live Patching.