Questions fréquentes sur Amazon Linux 2023

Les versions majeures (tous les deux ans) incluront de nouvelles fonctionnalités et des améliorations en matière de sécurité et de performances sur l'ensemble de la pile, y compris kernel, toolchain, glibc, openssl et toutes les autres bibliothèques et utilitaires du système. Les versions majeures d'AL2023 seront basées en partie sur la version actuelle de la distribution Linux Fedora en amont, bien qu'Amazon puisse choisir d'ajouter ou de remplacer des packages spécifiques provenant d'autres amonts non-Fedora (par exemple, le noyau Linux provient des choix de prise en charge à long terme de kernel.org et est maintenu spécifiquement pour les produits Linux d'Amazon). Vous devez vous attendre à des mises à jour de versions majeures pour les packages du référentiel qui ne sont parfois pas rétrocompatibles. Nous fournirons une liste complète des modifications entre les versions majeures et vous serez en mesure d'effectuer une mise à niveau sur place au niveau des packages.

Les versions mineures trimestrielles (1.1, 1.2) comprendront des mises à jour de sécurité, des corrections de bogues et de nouvelles fonctions et packages. Les exemples de versions mineures incluent les derniers environnements d'exécution de langages, comme PHP et d'autres packages logiciels populaires comme Ansible et Docker. Les versions mineures n'apportent pas de modifications qui rompent la compatibilité des applications. Par exemple, les versions par défaut des environnements d'exécution de langages resteront stables pendant que les versions plus récentes des environnements d'exécution de langages seront fournies dans le référentiel en tant que nouveaux packages.

Les mises à jour sont fournies via une combinaison de nouvelles versions d’AMI (Amazon Machine Image) et de nouveaux référentiels correspondants. Par défaut, une nouvelle AMI et le référentiel vers lequel elle pointe sont couplés, mais vous pouvez faire pointer vos instances Amazon EC2 en cours d'exécution vers des versions de référentiel plus récentes au fil du temps afin d'appliquer les mises à jour aux instances en cours d'exécution. Vous pouvez également effectuer des mises à jour en lançant de nouvelles instances des dernières AMI.

AL2023 est rattaché à une version spécifique de votre référentiel. L'AMI AL2023 affichée dans l'assistant de lancement EC2 sera toujours la plus récente et disposera des packages et des mises à jour les plus récentes, y compris les mises à jour de sécurité sensibles et importantes. Si vous lancez une instance EC2 en utilisant l'AMI AL2023 à travers l'assistant de lancement, vous disposerez toujours des dernières mises à jour (comme c'est le cas actuellement avec AL2). En revanche, si vous lancez une instance à partir d'une AMI plus ancienne, aucune mise à jour ne sera automatiquement appliquée et tous les packages supplémentaires installés dans le cadre de votre approvisionnement correspondront à la version du référentiel à partir duquel l'ancienne AMI a été créée. Cela vous permet de garantir la cohérence des versions et des mises à jour des packages dans votre environnement, en particulier si vous lancez plusieurs instances à partir de la même AMI. Vous pouvez appliquer les mises à jour en fonction de la planification qui vous convient.

Lorsque nous publierons une nouvelle version des référentiels AL2023, toutes les versions précédentes seront encore disponibles. Par défaut, le plugin de gestion des versions du référentiel se rattachera à la même version que celle qui a été utilisée pour créer l'AMI. Si vous avez besoin de contrôler les mises à jour des packages, vous pouvez découvrir les versions du référentiel disponibles pour la mise à jour en exécutant « dnf check-release-update », et sélectionner une version en exécutant commande « dnf —releasever=version update ». À ce moment-là, « dnf install » ou « dnf upgrade » ne choisira que les packages de la version du référentiel sélectionnée. Si vous n'avez pas besoin de contrôler les mises à jour des packages, vous pouvez sélectionner la « dernière » version, qui pointera toujours vers la version la plus récente des référentiels AL2023. Cela rétablit le comportement hérité pour les mises à jour de packages que vous et les flux de correctifs existants pourriez attendre.

Oui. SELinux est un module de sécurité fournissant des politiques de contrôle d'accès. Il est largement utilisé dans le secteur pour verrouiller les serveurs Linux et les protéger contre les activités malveillantes. Les applications majeures d'AL2023 sont fournies avec des politiques SELinux pré-configurées afin de vous aider à répondre à vos besoins de conformité.

Par défaut, AL2023 dispose de SELinux en mode permissif. Vous pouvez modifier les paramètres SELinux en mode appliqué à travers la ligne de commande en exécutant « setenforce » ou en exécutant cette commande au lancement de cloud-init userdata. Au redémarrage de l'instance, celle-ci mémorisera et utilisera le paramètre SELinux qui a été spécifié la première fois, sauf si vous le modifiez. Reportez-vous à la documentation AL2023 pour plus d'informations.

Reportez-vous aux notes de mises à jour Amazon Linux 2023 pour plus d'informations. Parmi les changements à observer entre la version finale et la version GA, l'on retrouve l'agent de mise en veille prolongée, ainsi que l'enregistrement des AMI pour un lancement par défaut avec IMDSv2 uniquement (soit la désactivation d'IMDSv1).

Comme la plupart des distributions Linux, Amazon Linux rétroporte régulièrement les correctifs de sécurité vers les versions de packages stables vendues dans ses référentiels. Lorsque ces packages sont mis à jour grâce à un rétroportage, le bulletin de sécurité Amazon Linux relatif au problème en question répertorie les versions de package spécifiques dans lesquelles le problème a été résolu pour Amazon Linux. Les scanners de sécurité qui s'appuient sur la gestion des versions effectué par les auteurs d'un projet ne détectent parfois pas qu'un correctif CVE donné a été appliqué dans une ancienne version. Les clients peuvent consulter le Centre de sécurité Amazon Linux (ALAS) pour obtenir des mises à jour concernant les problèmes de sécurité et les correctifs.

La publication 140-3 de la norme fédérale sur le traitement de l'information (FIPS) contient des normes et des directives pour la protection et le cryptage des données pour les systèmes informatiques fédéraux. Cela a été développé par le National Institute of Standards and Technology (NIST), le Centre canadien pour la cybersécurité (CCCS) et des groupes de travail de l'industrie afin de valider l'efficacité des modules cryptographiques. La norme FIPS 140-3 s'aligne sur la norme ISO/IEC 19790 et apporte de nouvelles améliorations aux exigences de sécurité par rapport à la norme FIPS 140-2, aujourd'hui supprimée.

Pour activer le mode FIPS sur AL2023, téléchargez les packages requis sur votre instance Amazon EC2 et connectez-vous à celle-ci pour activer le mode FIPS. Pour obtenir des instructions détaillées, consultez notre section Activer le mode FIPS.

Les modules cryptographiques Amazon Linux 2023 (OpenSSL, NSS, Libgcrypt, Kernel, GnuTLS) ont été soumis à la validation FIPS 140-3. En date du 2 février 2024, les 5 modules cryptographiques figuraient sur la liste des Modules en cours de traitement (MIP) du FIPS. La liste MIP contient les modules cryptographiques qui ont passé tous les tests FIPS et qui attendent l'examen du CMVP et la délivrance du certificat. Le Programme de validation des modules cryptographiques (CMVP) est le fruit de la collaboration entre le National Institute of Standards and Technology du ministère du commerce et le Centre canadien pour la cybersécurité, une branche du Centre de la sécurité des télécommunications. Veuillez consulter le site web du programme de validation des modules cryptographiques (CMVP) pour connaître le statut FIPS des modules cryptographiques AL2023.

Les clients peuvent utiliser les modules cryptographiques AL2023 quand ils figurent sur la liste MIP. AWS recommande aux clients de consulter leur équipe de conformité pour vérifier si l'utilisation de modules cryptographiques AL2023 pour leurs charges de travail conformes à la norme FIPS est acceptable et pour obtenir les approbations nécessaires. 

AL2023 OpenSSL, NSS, Libgcyprt, Kernel et GnuTLS ont été testés sur Intel, AMD et Graviton. Les détails figureront sur les certificats finaux.

AL2023 fournit des mises à jour pour ses packages et maintiendra la compatibilité au sein d'une version majeure pour les applications clients créées sur AL2023. Les packages de base, tels que glibc, openssl, openssh et le gestionnaire de packages dnf, bénéficient d'une prise en charge pendant toute la durée de vie de la version majeure d'AL2023. Les packages qui ne font pas partie des packages de base seront pris en charge par leurs sources amont. Vous pouvez afficher le statut et les dates de prise en charge spécifiques de chaque package en exécutant la commande « dnf supportinfo nomdupackage ». La liste complète des packages de base sera finalisée pendant la version préliminaire. Si vous souhaitez que davantage de packages soient inclus comme packages de base, veuillez nous le faire savoir et nous verrons dans quelle mesure les ajouter, au fur et à mesure que nous recueillons des commentaires. Les commentaires sur Amazon Linux 2023 peuvent être fournis via votre représentant AWS désigné, le forum de discussion Amazon Linux ou la page GitHub d’Amazon Linux 2023.