一般性问题
问:什么是 Amazon Linux 2023?
Amazon Linux 2023(AL2023)是基于 RPM 的通用 Linux 发行版,前身为 Amazon Linux 2。AL2023 可简化操作系统升级规划。Amazon Linux 2023 与亚马逊云科技服务集成,专为云端大规模部署设计。默认情况下,AL2023 AMI 和容器映像会锁定特定版本的软件包存储库,从而确保确定性行为,并简化将操作系统更新集成到持续集成和部署环境的流程。
问:如何报告错误或问题?
您可以通过 Amazon Linux 2023 的 GitHub 页面或联系您的客户团队来报告错误或问题。
问:Amazon Linux 的发布计划是什么?
可在此处查看 Amazon Linux 的发布计划。
问:主要版本和次要版本包含哪些内容?
Amazon Linux 的主要版本将包含整个堆栈的新功能、安全性和性能改进,涵盖内核、工具链、glibc、openssl 及所有其他系统库和实用程序。Amazon Linux 的主要版本部分基于上游 Fedora Linux 的当前版本,但我们可以选择从其他非 Fedora 上游添加或替换特定软件包(例如,Linux 内核源自 kernel.org 的长期支持版本,并专门针对 Amazon 的 Linux 产品进行维护)。您可能会遇到存储库中软件包的重大更新,这些更新有时可能不向后兼容。我们将提供主要版本之间变更的完整列表。季度次要版本将包括安全更新、错误修复以及新功能和软件包。次要版本变更示例包括最新的语言运行时(如 PHP)和其他流行的软件包(如 Ansible 和 Docker)。在维护阶段,版本仅接收安全更新和关键错误修复,这些更新和错误修复将在可用后立即发布。
问:主要版本和次要版本的更新将如何提供?
更新通过新 AMI(亚马逊机器映像)版本和相应的新存储库组合提供。默认情况下,新 AMI 及其指向的存储库是耦合的,但您可以随时间的推移将正在运行的 Amazon EC2 实例指向更新的存储库版本,以便在运行中的实例上应用更新。您也可以通过启动最新 AMI 的新实例来完成更新。
问:新的 Amazon Linux AMI 多久发布一次?
我们每次发布新版本(主要版本、次要版本或安全版本)时,也会同步发布新的 Linux 亚马逊机器映像(AMI)。
问:如何控制从主要版本和次要版本接收的更新?
AL2023 会锁定您存储库的特定版本(可以是任何主要或次要版本)。通过我们的 SSM 参数公开的 AL2023 AMI 将始终是最新的,并包含最新的软件包和更新,包括关键和重要的安全更新。如果您通过启动向导使用 AL2023 AMI 启动 EC2 实例,将始终获得最新更新。但是,如果您从旧版 AMI 启动实例,将不会自动应用更新,并且作为配置的一部分安装的任何附加软件包都将映射到构建旧版 AMI 的存储库版本。这使您能够确保整个环境中软件包版本和更新的一致性,尤其是在从同一 AMI 启动多个实例时。您可以根据适合自己的计划应用更新,也可以在启动时应用一组特定的更新,因为这些更新也可以锁定到特定的存储库版本。有关更多详细信息,请参阅文档。
问:控制 AL2023 存储库中的软件包更新的流程是怎样的?
当我们发布新版本的 AL2023 存储库时,所有旧版本仍将可用。默认情况下,管理存储库版本的插件将锁定到用于构建 AMI 的相同版本。如果需要控制软件包更新,您可以通过运行“dnf check-release-update”;来发现可更新的存储库版本,并通过运行列出的命令“dnf —releasever=version update”来选择版本。此时,“dnf install”或“dnf upgrade”将仅从选定的存储库版本中选择软件包。如果不需要控制软件包更新,则可以选择“latest”版本,该版本将始终指向 AL2023 存储库的最新版本。如果您当前使用 Amazon Linux 2,这将恢复您和现有补丁工作流可能期望的传统软件包更新行为。
问:我的 AL2023 实例会自动接收关键和重要的安全更新吗?
在默认配置下不会。默认情况下,管理存储库版本的插件将锁定到构建 AMI 的相同版本,不会应用安全更新。您可以随时更改默认配置以自动接收软件包更新,也可以指定仅接收安全更新。有关更多详细信息,请参阅文档。
问:如何在亚马逊云科技中国区域开始使用 Amazon Linux 2023?
我们为 Amazon Linux 2023 提供了一个亚马逊机器映像(AMI),您可以使用该映像从 Amazon EC2 控制台、Amazon SDK 和 CLI 启动实例。有关更多详细信息,请参阅 Amazon Linux 2023 文档。
问:在 Amazon EC2 中运行 Amazon Linux 2023 是否会产生相关成本?
不会,运行 Amazon Linux 2023 没有额外费用。运行 Amazon EC2 实例和其他服务适用标准的 Amazon EC2 费率。
问:我可以在亚马逊云科技之外使用 AL2023 吗?
AL2023 映像可以在亚马逊云科技之外使用,但在亚马逊云科技之外使用时,这些映像不在亚马逊云科技支持计划的覆盖范围内。
问:AL2023 最适合哪些客户?
如果您正在寻找可在亚马逊云科技上使用的通用 Linux 操作系统,AL2023 是理想之选。AL2023 针对 Amazon EC2 进行了优化,与最新的亚马逊云科技功能完美集成,并提供与许多特定于亚马逊云科技的工具(如 Amazon Systems Manager 和 Amazon CLI)的集成体验。如果您当前使用 Amazon Linux AMI(AL1)或 Amazon Linux 2(AL2),不妨考虑试用 AL2023,因为它融合了两者的优势。除了提供频繁的更新和长期支持外,Amazon Linux 2023 还提供可预测的发布节奏,可灵活安排和控制新软件更新,并消除创建自定义策略以满足标准合规性要求所产生的运营开销。
问:AL2023 是否像 AL2 一样有 Amazon-Linux-Extras?
否,AL2023 不提供额外功能。对于语言运行时等更高级别的软件包,我们将使用季度版本,除了存储库中提供的默认软件包外,我们还将以单独的命名空间包的形式向软件包添加主要/次要更新。例如,Amazon Linux 2023 的默认 Python 版本可能是 3.8,但我们会在 Python 3.9(python39)可用时,将其作为单独的命名空间软件包添加。这些附加软件包将严格遵循其上游发布节奏和支持模式,其支持策略可通过软件包管理器访问,以满足合规性和安全性用例要求。默认软件包将在 AL2023 的整个生命周期内持续获得支持。
问:如何提供 AL2023 使用体验的反馈?
有关 Amazon Linux 2023 的反馈可以通过支持案例或 Amazon Linux 2023 GitHub 页面提供。
更新政策
问:AL2023 的主要和次要版本将包含哪些内容?
主要版本将包含整个堆栈的新功能、安全性和性能改进,涵盖内核、工具链、glibc、openssl 及所有其他系统库和实用程序。AL2023 的主要版本部分基于上游 Fedora Linux 的当前版本,但我们可以选择从其他非 Fedora 上游添加或替换特定软件包(例如,Linux 内核源自 kernel.org 的长期支持版本,并专门针对 Amazon 的 Linux 产品进行维护)。您可能会遇到存储库中软件包的重大更新,这些更新有时可能不向后兼容。我们将提供主要版本之间变更的完整列表,您将能够在软件包级别就地升级。
季度次要版本(1.1、1.2)将包括安全更新、错误修复以及新功能和软件包。次要版本示例包括最新的语言运行时(如 PHP)和其他流行的软件包(如 Ansible 和 Docker)。次要版本不会引入破坏应用兼容性的变更。例如,语言运行时的默认版本将保持稳定,而较新的语言运行时版本会作为新软件包提供到存储库中。
问:主要版本和次要版本的更新将如何提供?
更新通过新 AMI(亚马逊机器映像)版本和相应的新存储库组合提供。默认情况下,新 AMI 及其指向的存储库是耦合的,但您可以随时间的推移将正在运行的 Amazon EC2 实例指向更新的存储库版本,以便在运行中的实例上应用更新。您也可以通过启动最新 AMI 的新实例来完成更新。
问:如何控制 AL2023 存储库中的软件包更新?
当我们发布新版本的 AL2023 存储库时,所有旧版本仍将可用。默认情况下,管理存储库版本的插件将锁定到用于构建 AMI 的相同版本。如果需要控制软件包更新,您可以通过运行“dnf check-release-update”;来发现可更新的存储库版本,并通过运行列出的命令“dnf —releasever=version update”来选择版本。此时,“dnf install”或“dnf upgrade”将仅从选定的存储库版本中选择软件包。如果不需要控制软件包更新,则可以选择“latest”版本,该版本将始终指向 AL2023 存储库的最新版本。这将恢复您和现有补丁工作流可能期望的传统软件包更新行为。
问:如何控制从主要版本和次要版本接收的更新?
AL2023 锁定到存储库的特定版本。EC2 启动向导中显示 AL2023 AMI 将始终是最新的,并包含最新的软件包和更新,包括关键和重要的安全更新。如果您通过启动向导使用 AL2023 AMI 启动 EC2 实例,将始终获得最新更新(与当前 AL2 体验相同)。但是,如果您从旧版 AMI 启动实例,将不会自动应用更新,并且作为配置的一部分安装的任何附加软件包都将映射到构建旧版 AMI 的存储库版本。这使您能够确保整个环境中软件包版本和更新的一致性,尤其是在从同一 AMI 启动多个实例时。您可以根据适合自己的计划应用更新,
安全性
问:AL2023 是否支持 SELinux?
是。SELinux 是一个提供访问控制策略的安全模块,被业界广泛用于锁定 Linux 服务器并防范恶意活动。AL2023 内的主要应用均带有预先配置的 SELinux 策略,可帮助您满足合规性需求。
问:AL2023 SELinux 的默认配置是什么?
默认情况下,AL2023 将 SELinux 设置为许可模式。您可以通过命令行执行“setenforce”命令,或在启动时通过 cloud-init 用户数据运行此命令,将 SELinux 设置更改为强制模式。实例重启时,系统将保留并使用首次指定的 SELinux 设置,除非您对其进行更改。有关更多详细信息,请参阅 AL2023 文档。
问:哪些软件包未包含在候选版本中,但将在正式发布版本中提供?
有关完整的详细信息,请参阅 Amazon Linux 2023 发行说明。候选版本与正式发布版本之间的变更示例包括休眠代理,以及默认注册为仅通过 IMDSv2 启动(即禁用 IMDSv1)的 AMI。
问:为何安全扫描工具报告 Amazon Linux 软件包中存在未修复的 CVE,而 Amazon Linux 安全公告却声称该版本已修复此 CVE?
与大多数 Linux 发行版一样,Amazon Linux 会定期将安全修复反向移植到存储库中提供的稳定软件包版本。当这些软件包通过反向移植更新后,针对特定问题的 Amazon Linux 安全公告将列出该问题在 Amazon Linux 中已修复的具体软件包版本。依赖项目作者版本控制的安全扫描工具有时无法识别旧版本中已应用的 CVE 修复。客户可参考 Amazon Linux 安全中心(ALAS)获取有关安全问题和修复的最新信息。
AL2023 FIPS 常见问题解答
问:什么是 FIPS 140-3?
《联邦信息处理标准》(FIPS)第 140-3 号出版物包含针对联邦计算机系统的数据保护和加密标准与指南。该标准由美国国家标准与技术研究院(NIST)、加拿大网络安全中心(CCCS)及行业工作组共同制定,用于验证加密模块的有效性。FIPS 140-3 与 ISO/IEC 19790 标准一致,并在已停用的 FIPS 140-2 标准基础上引入了新的安全要求增强。 如果您的组织是美国、加拿大的联邦机构,或与处理敏感数据的联邦机构合作,则可能需要遵循 FIPS 140-3 标准。
问:如何在 Amazon Linux 2023 上启用 FIPS 模式?
要在 AL2023 上启用 FIPS 模式,请在 Amazon EC2 实例上下载所需软件包并连接实例以开启 FIPS 模式。有关详细说明,请参阅我们的启用 FIPS 模式。
问:AL2023 FIPS 140-3 验证当前状态如何?
Amazon Linux 2023 的加密模块已提交进行 FIPS 140-3 验证。其中,Amazon Linux 2023 内核加密 API 加密模块已通过 FIPS 验证(证书 #4808)。其余 4 个加密模块(OpenSSL、NSS、Libgcrypt、GnuTLS)已列入 FIPS 处理中模块(MIP)列表。MIP 列表包含已完成所有 FIPS 测试、正在等待加密模块验证计划(CMVP)审核和证书颁发的加密模块。CMVP 是美国商务部下属国家标准与技术研究院与加拿大通信安全机构分支网络安全中心的联合项目。请访问上面链接的 MIP 列表,以查看正在进行的审核的状态,或访问 CMVP 模块搜索页面查看所有已完成的 AL2 和 2023 加密模块。
问:适用于 FIPS 的 AL2023 模块位于处理中模块(MIP)列表中时是否可使用?
客户可能可以在 AL2023 加密模块位于 MIP 列表中时使用该模块。 我们建议客户咨询其合规团队,确认是否可接受在需要 FIPS 的工作负载中使用 AL2023 加密模块,并在必要时获得批准。
问:CMVP 正在审核哪些 AL2023 加密模块?
|
A |
B |
C |
1 |
加密模块名称 |
关联软件包 |
验证状态 |
2 |
Amazon Linux 2023 OpenSSL 加密模块 |
OpenSSL 3.0.8 |
|
3 |
Amazon Linux 2023 NSS 加密模块 |
NSS 3.88 |
|
4 |
Amazon Linux 2023 Libgcrypt 加密模块 |
Libgcrypt 1.10.2 |
|
5 |
Amazon Linux 2023 内核加密 API 加密模块 |
Kernel 6.1.41 |
|
6 |
Amazon Linux 2023 GnuTLS 加密模块 |
GnuTLS 3.8.0 |
问:哪些模块和操作环境经过测试?
AL2023 的 OpenSSL、NSS、Libgcrypt、Kernel 和 GnuTLS 模块已在 Intel、AMD 和 Graviton 架构上通过测试。每次验证完成后,将在相应的 FIPS 安全策略中列出详细信息。
AL2023 FIPS 常见问题解答
问:AL2023 的长期支持政策是什么?
AL2023 将为其软件包提供更新,并在主版本内保持基于 AL2023 构建的客户应用程序的兼容性。核心软件包(如 glibc、openssl、openssh 和 dnf 软件包管理器)在 AL2023 主版本的整个生命周期内均会获得支持。非核心软件包的支持周期由其上游来源定义。您可以通过运行“dnf supportinfo packagename”命令来查看单个软件包的具体支持状态和时间。核心软件包的完整列表将在预览阶段最终确定。如果您希望将更多软件包纳入核心软件包范围,请告知我们。我们将在收集反馈进行评估。有关 Amazon Linux 2023 的反馈可以通过支持案例或 Amazon Linux 2023 GitHub 页面提供。