Perguntas frequentes sobre o Amazon Linux 2023

Geral

O Amazon Linux 2023 (AL2023) é uma distribuição baseada em rpm de uso geral e é um sucessor do Amazon Linux 2. O AL2023 simplifica o planejamento de atualizações de sistemas operacionais. A partir do AL2023, uma nova versão principal do Amazon Linux será lançada a cada dois anos, incluindo pequenas versões trimestrais e contendo suporte em longo prazo de cinco anos. O Amazon Linux 2023 se integra aos produtos da AWS e é criado para implantação em escala na nuvem. Por padrão, as AMIs e as imagens de contêiner do AL2023 se vinculam a uma versão específica do repositório de pacotes, garantindo um comportamento determinístico e simplificando a integração das atualizações dos sistemas operacionais em ambientes de integração e implantação contínuas.

Use a página do GitHub do Amazon Linux 2023 ou trabalhe com sua equipe da conta para relatar um bug ou problema.

Uma nova versão principal do Amazon Linux é lançada a cada dois anos, o que inclui suporte em longo prazo de cinco anos. Cada versão é composta de duas fases: fase de desenvolvimento ativo (2 anos) e fase de manutenção (3 anos). Na fase de desenvolvimento ativo, a versão recebe pequenas atualizações de versão trimestralmente. Cada versão pequena é uma lista cumulativa de atualizações que inclui correções de bugs e de segurança, além de novos recursos e pacotes. Durante a fase de manutenção, uma versão recebe somente atualizações de segurança e correções de bugs críticos, que serão publicadas assim que estiverem disponíveis. Visualize o status de todas as vulnerabilidades de segurança conhecidas, na página AL2023 Security Center (Central de segurança do AL2023). Toda vez que lançamos novos repositórios, lançamos também uma nova Imagem de máquina da Amazon do Linux.

As versões principais do Amazon Linux incluem novos recursos e aprimoramentos de segurança e performance em toda a pilha, incluindo kernel, toolchain, glibc, openssl e todos os outros utilitários e bibliotecas do sistema. As versões principais do Amazon Linux são baseadas em parte na versão atual da distribuição Fedora Linux, mas a Amazon poderá adicionar ou substituir pacotes específicos de outros upstreams não Fedora (por exemplo, o kernel do Linux é obtido das opções de suporte de longo prazo do kernel.org e é mantido especificamente para os produtos Linux da Amazon). Espere obter atualizações das versões principais nos repositórios que não tiverem compatibilidade retroativa. Forneceremos uma lista completa das alterações ocorridas entre as versões principais. Versões pequenas trimestrais incluirão atualizações de segurança, correções de bugs e novos recursos e pacotes. Exemplos de mudanças nas versões pequenas incluem os tempos de execução das linguagens mais recentes, como PHP e outros pacotes de software muito usados, como Ansible e Docker. Durante a fase de manutenção, uma versão recebe somente atualizações de segurança e correções de bugs críticos, que serão publicadas assim que estiverem disponíveis.

As atualizações são fornecidas por meio de uma combinação de novas versões da AMI (Imagem de máquina da Amazon) e de repositórios novos correspondentes. Por padrão, uma nova AMI e o repositório para o qual ela aponta são acoplados mas, com o passar do tempo, você pode apontar suas instâncias do Amazon EC2 para as versões mais novas do repositório, a fim de consumir as atualizações nas instâncias em execução. Você também pode atualizar iniciando novas instâncias das AMIs mais recentes.

O AL2023 mantém uma versão específica para o repositório (isso pode ser qualquer versão principal ou pequena). A AMI do AL2023 que for exposta pelos parâmetros do SSM será sempre a mais recente e terá as atualizações e os pacotes mais atualizados, incluindo atualizações de segurança críticas e importantes. Se você iniciar uma instância do EC2 usando a AMI do AL2023 por meio do Launch Wizard, você terá sempre as atualizações mais recentes. Porém, se você iniciar uma instância de uma AMI mais antiga, nenhuma atualização será aplicada e nenhum pacote adicional, que estiver instalado como parte do provisionamento, será direcionado para a versão do repositório na qual a AMI mais antiga foi criada. Isso permite que você garanta a consistência das versões e atualizações do pacote no ambiente, principalmente se você estiver iniciando várias instâncias da mesma AMI. Aplique atualizações baseadas na programação que funcione para você. Você também pode aplicar um conjunto específico de atualizações no lançamento, pois essas também podem ser mantidas em uma versão específica do repositório. Consulte a documentação para obter mais detalhes.

Sempre que lançarmos uma nova versão (versão principal, pequena ou uma versão de segurança), lançaremos também uma nova imagem de máquina da Amazon (AMI) do Linux.

Quando publicamos uma nova versão dos repositórios do AL2023, todas as versões anteriores continuam disponíveis. Por padrão, o plugin para o gerenciamento de versões do repositório manterá a mesma versão usada para criar a AMI. Se você precisar controlar as atualizações de pacotes, poderá descobrir as versões de repositório disponíveis para atualizar executando “dnf check-release-update” e selecionar uma versão executando o comando listado “dnf —releasever=version update”. Nesse ponto, “dnf install” ou “dnf upgrade“ escolherá somente os pacotes da versão do repositório selecionada. Se você não precisar controlar as atualizações de pacotes, selecione a versão “mais recente”, que apontará sempre para a última versão dos repositórios do AL2023. Se você estiver usando o Amazon Linux 2 atualmente, isso restaurará o comportamento legado nas atualizações de pacotes que você e os fluxos de trabalho de patches existentes possam esperar.

Não em uma configuração padrão. Por padrão, o plugin para o gerenciamento de versões do repositório manterá a mesma versão usada para criar a AMI, e nenhuma atualização de segurança será aplicada. Você pode alterar a configuração padrão para receber atualizações de pacotes automaticamente. Você também pode especificar para receber somente atualizações de segurança. Consulte a documentação para obter mais detalhes.

A AWS fornece uma imagem de máquina da Amazon (AMI) para o Amazon Linux 2023, que você pode usar para iniciar uma instância do console do Amazon EC2, do AWS SDK e da CLI. Consulte a documentação do Amazon Linux 2023 para obter mais detalhes.

As imagens do AL2023 podem ser usadas de forma externa à AWS, no entanto, essas imagens não são abrangidas pelos planos do AWS Support quando usadas de forma externa à AWS.

Não. Não há cobranças adicionais pela execução do Amazon Linux 2023. O Amazon EC2 e a AWS são cobrados para instâncias do Amazon EC2 e outros serviços.

O AL2023 é uma ótima opção se você estiver procurando sistemas operacionais Linux para usar na AWS. O AL2023 é otimizado para o Amazon EC2, é muito bem integrado aos mais recentes recursos da AWS e oferece uma experiência integrada com várias ferramentas específicas da AWS (AWS Systems Manager e AWS CLI). Se você usa atualmente o Amazon Linux AMI (AL1) ou Amazon Linux 2 (AL2), considere experimentar o AL2023, pois ele combina os benefícios dos dois. Além de oferecer atualizações frequentes e suporte de longo prazo, o Amazon Linux 2023 oferece uma cadência de versões previsível, flexibilidade e controle sobre as atualizações de software, além de eliminar as despesas operacionais inerentes à criação de políticas personalizadas que atendam a requisitos de conformidade padrão.

Não, o AL2023 não tem nenhum recurso adicional. Para obter pacotes de software de nível mais alto como os tempos de execução de linguagens, usaremos a versão trimestral, na qual adicionaremos atualizações principais e pequenas aos pacotes, como pacotes com namespace separados, além do pacote padrão fornecido no repositório. Por exemplo, a versão do Phyton padrão no Amazon Linux 2023 pode ser 3.8, mas adicionaremos o Python 3.9 (python39) como um pacote com namespace separado, sempre que ele for disponibilizado. Esses pacotes adicionais seguirão a cadência da versão e o modelo de suporte do upstream. As políticas de suporte podem ser acessadas pelo gerenciador de pacotes para casos de uso de conformidade e segurança. Os pacotes padrão continuarão a ter suporte em toda a vida do AL2023.

Feedback sobre o Amazon Linux 2023 pode ser fornecido por meio de seu representante da AWS designado, de fóruns de discussão do Amazon Linux ou na página do GitHub do Amazon Linux 2023. 

Política de atualizações

As versões principais (a cada dois anos) incluirão novos recursos e aprimoramentos de segurança e performance em toda a pilha, incluindo kernel, toolchain, glibc, openssl e todos os outros utilitários e bibliotecas do sistema. As versões principais do AL2023 são baseadas em parte na versão atual da distribuição Fedora Linux upstream, mas a Amazon poderá adicionar ou substituir pacotes específicos de outros upstreams não Fedora (por exemplo, o kernel do Linux é obtido das opções de suporte de longo prazo do kernel.org e é mantido especificamente para os produtos Linux da Amazon). Espere obter atualizações das versões principais nos repositórios que não tiverem compatibilidade retroativa. Forneceremos uma lista completa de alterações entre as versões principais, e você poderá executar uma atualização no local em um nível do pacote.

Versões pequenas trimestrais (1.1, 1.2) incluirão atualizações de segurança, correções de bugs e novos recursos e pacotes. Exemplos versões pequenas incluem os tempos de execução das linguagens mais recentes, como PHP e outros pacotes de software muito usados, como Ansible e Docker. As versões pequenas não introduzem alterações que interrompam a compatibilidade da aplicação. Por exemplo, as versões padrão dos tempos de execução da linguagem permanecerão estáveis, enquanto a nova versão dos tempos de execução da linguagem são fornecidos no repositório como novos pacotes.

As atualizações são fornecidas por meio de uma combinação de novas versões da AMI (Imagem de máquina da Amazon) e de repositórios novos correspondentes. Por padrão, uma nova AMI e o repositório para o qual ela aponta são acoplados mas, com o passar do tempo, você pode apontar suas instâncias do Amazon EC2 para as versões mais novas do repositório, a fim de consumir as atualizações nas instâncias em execução. Você também pode atualizar iniciando novas instâncias das AMIs mais recentes.

O AL2023 mantém uma versão específica no repositório. A AMI do AL2023 mostrada no Launch Wizard do EC2 será sempre a mais recente e terá as atualizações e os pacotes mais atualizados, incluindo atualizações de segurança críticas e importantes. Se você iniciar uma instância do EC2 usando a AMI do AL2023 por meio do Launch Wizard, você terá sempre as atualizações mais recentes (a mesma da experiência atual com o AL2). Porém, se você iniciar uma instância de uma AMI mais antiga, nenhuma atualização será aplicada e nenhum pacote adicional, que estiver instalado como parte do provisionamento, será direcionado para a versão do repositório na qual a AMI mais antiga foi criada. Isso permite que você garanta a consistência das versões e atualizações do pacote no ambiente, principalmente se você estiver iniciando várias instâncias da mesma AMI. Aplique atualizações baseadas na programação que funcione para você.

Quando publicamos uma nova versão dos repositórios do AL2023, todas as versões anteriores continuam disponíveis. Por padrão, o plugin para o gerenciamento de versões do repositório manterá a mesma versão usada para criar a AMI. Se você precisar controlar as atualizações de pacotes, poderá descobrir as versões de repositório disponíveis para atualizar executando “dnf check-release-update” e selecionar uma versão executando o comando listado “dnf —releasever=version update”. Nesse ponto, “dnf install” ou “dnf upgrade“ escolherá somente os pacotes da versão do repositório selecionada. Se você não precisar controlar as atualizações de pacotes, selecione a versão “mais recente”, que apontará sempre para a última versão dos repositórios do AL2023. Isso restaura o comportamento legado nas atualizações de pacotes que você e os fluxos de trabalho de patches existentes possam esperar.

Segurança

Sim. O SELinux é um módulo de segurança que fornece acesso a políticas de controle. Ele é amplamente usado no setor para bloquear servidores Linux e para proteger contra atividades maliciosas. As principais aplicações integradas ao AL2023 são fornecidas com políticas de SELinux pré-configuradas para ajudar no cumprimento dos requisitos de conformidade.

O AL2023 terá o SELinux em modo permissivo, por padrão. Você pode mudar as configurações do SELinux para o modo imposto na linha de comando ao executar “setenforce” ou ao executar este comando lançado no cloud-init userdata. Quando a instância for reiniciada, ela lembrará e usará as configurações do SELinux que foram especificadas na primeira vez, a menos que você as altere. Consulte a documentação do AL2023 para obter mais detalhes.

Consulte as notas de versão do Amazon Linux 2023 para obter todos os detalhes. Os exemplos de mudanças que ocorrem entre a Release Candidate e a versão GA incluem o agente de hibernação e as AMIs que são registradas para lançamento apenas com o IMDSv2 (ou seja, desabilitando o IMDSv1), por padrão.

O Amazon Linux, como a maioria das distribuições Linux, realiza regularmente o backport de correções de segurança para versões de pacotes estáveis ​​fornecidas em seus repositórios. Quando esses pacotes são atualizados com um backport, o boletim de segurança do Amazon Linux para o determinado problema listará as versões específicas do pacote nas quais o problema foi corrigido para o Amazon Linux. Os verificadores de segurança que contam com o versionamento dos autores de um projeto às vezes não detectam que uma determinada correção de CVE foi aplicada em uma versão mais antiga. Os clientes podem consultar o Amazon Linux Security Center (ALAS) para obter atualizações sobre os problemas e as correções de segurança.

PERGUNTAS FREQUENTES SOBRE O FIPS DO AL2023

A Publicação 140-3 do Federal Information Processing Standard (FIPS) contém padrões e diretrizes para proteção e criptografia de dados para sistemas de computadores federais. Ela foi desenvolvida pelo National Institute of Standards and Technology (NIST), Canadian Centre for Cyber Security (CCCS) e por grupos de trabalho do setor para validar a eficácia dos módulos criptográficos. O FIPS 140-3 se alinha ao padrão ISO/IEC 19790 e introduz novos aprimoramentos nos requisitos de segurança em relação ao agora descontinuado padrão FIPS 140-2.

Para habilitar o modo FIPS no AL2023, baixe os pacotes necessários em sua instância do Amazon EC2 e conecte-se a ela para ativar o modo FIPS. Para obter instruções detalhadas, consulte Habilitar o modo FIPS.

Os módulos criptográficos do Amazon Linux 2023 (OpenSSL, NSS, Libgcrypt, Kernel, GnuTLS) foram enviados para validação do FIPS 140-3. Em 02/02/2024, todos os 5 módulos criptográficos estão na lista Módulos em processo (MIP) do FIPS. A lista de MIP contém módulos criptográficos que concluíram todos os testes de FIPS e estão aguardando a revisão do CMVP e a emissão do certificado. O Cryptographic Module Validation Program (CMVP) é um esforço conjunto entre o National Institute of Standards and Technology sob o Departamento de Comércio e o Canadian Centre for Cyber Security, uma filial do Communications Security Establishment. Visite o site do Cryptographic Module Validation Program (CMVP) para obter o status de FIPS dos módulos criptográficos do AL2023.

Os clientes podem usar os módulos criptográficos do AL2023 enquanto os módulos estão na lista MIP. A AWS recomenda que os clientes consultem sua equipe de conformidade para verificar se o uso dos módulos criptográficos do AL2023 para suas workloads exigidas pelo FIPS é aceitável e obter aprovações quando necessário. 

Nome do módulo criptográfico Pacotes associados Status de validação
Módulo criptográfico OpenSSL do Amazon Linux 2023 OpenSSL 3.0.8 Lista de módulos em processo
Módulo criptográfico NSS do Amazon Linux 2023 NSS 3.88 Lista de módulos em processo
Módulo criptográfico Libgcrypt do Amazon Linux 2023 Libgcrypt 1.10.2 Lista de módulos em processo
Módulo criptográfico da API de criptografia do kernel do Amazon Linux 2023 Kernel 6.1.41 Validação FIPS
Módulo criptográfico GnuTLS do Amazon Linux 2023 GnuTLS 3.8.0 Lista de módulos em processo

Os módulos OpenSSL, NSS, Libgcyprt, Kernel e GnuTLS do AL2023 foram testados nas plataformas Intel, AMD e Graviton. Os detalhes serão listados nos certificados finais.

Suporte de longo prazo

O AL2023 fornece atualizações para seus pacotes e manterá a compatibilidade dentro de uma versão principal para aplicações de clientes criadas no AL2023. Pacotes centrais, como glibc, openssl, openssh e o gerenciador de pacotes dnf receberão suporte durante toda a vida da versão principal do AL2023. Os pacotes que não fizerem parte dos pacotes centrais receberão suporte definidos pelas suas fontes upstream. Visualize o status de suporte específico e as datas de pacotes individuais, executando o comando ‘dnf supportinfo packagename’. A lista completa de pacotes centrais será finalizada durante a pré-visualização. Se você quiser que mais pacotes sejam incluídos como pacotes centrais, informe-nos e avaliaremos o caso durante a coleta de feedback. Feedback sobre o Amazon Linux 2023 pode ser fornecido por meio do seu representante da AWS designado, do Fórum de discussão do Amazon Linux ou da Página do GitHub no Amazon Linux 2023.