En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Comment m’assurer que mon instance Amazon EC2 Linux dispose des mises à jour de sécurité et des correctifs les plus récents ?

Lecture de 6 minute(s)
0

Je souhaite m’assurer que mes instances Linux Amazon Elastic Compute Cloud (Amazon EC2) sont mises à jour et protégées contre les vulnérabilités.

Solution

Vérification des mises à jour disponibles

Remarque : avec Amazon Linux 2, on utilise la commande yum et avec Amazon Linux 2023, on utilise la commande dnf.

Si vous voulez vérifier les mises à jour de packages disponibles pour votre instance Linux, notamment les correctifs de sécurité et les corrections de bogues, exécutez la commande suivante :

Amazon Linux 2 :

sudo yum check-update

Amazon Linux 2023 :

sudo dnf check-update

Dans les sorties de commande, consultez la liste des mises à jour de sécurité ou de packages système critiques, tels que kernel, OpenSSL ou d’autres bibliothèques principales.

Remarque : les référentiels pour Amazon Linux 2023 sont disponibles en différentes versions. Par défaut, chaque Amazon Machine Image (AMI) Amazon Linux 2023 est verrouillée sur une version de référentiel précise. S’il existe une version ultérieure d’Amazon Linux, exécutez la commande yum check-update pour vous renseigner sur les versions disponibles à mettre à niveau.

Pour recevoir les mises à jour et les correctifs les plus récents pour Amazon Linux 2023, passez à une version ultérieure.

Pour connaitre votre version actuelle d’Amazon Linux 2023, exécutez la commande suivante :

sudo dnf list installed | grep system-release

Pour afficher toutes les versions disponibles, exécutez la commande suivante :

sudo dnf --showduplicates list system-release --releasever=latest

Pour vérifier les mises à jour disponibles pour une version précise, exécutez la commande suivante :

sudo dnf --releasever=release_version_number check-update

Remarque : remplacez release_version_number par la version dont vous souhaitez vérifier les mises à jour disponibles.

Pour vérifier les mises à jour disponibles pour la dernière version, exécutez la commande suivante :

sudo dnf --releasever=latest check-update

Pour effectuer une mise à niveau vers une version précise, exécutez la commande suivante :

sudo dnf upgrade --releasever=release_version_number

Remarque : remplacez release_version_number par la version vers laquelle vous souhaitez effectuer la mise à niveau.

Pour effectuer une mise à niveau vers la dernière version, exécutez la commande suivante :

sudo dnf upgrade --releasever=latest

Liste des mises à jour de sécurité

Amazon Linux 2

Pour répertorier toutes les mises à jour de sécurité disponibles, exécutez la commande suivante :

sudo yum updateinfo list --security

Pour obtenir la liste des mises à jour de sécurité actuellement installées, exécutez la commande suivante :

sudo yum updateinfo list --security installed

Amazon Linux 2023

Exécutez la commande suivante pour répertorier toutes les mises à jour de sécurité disponibles depuis une version précise :

sudo dnf updateinfo list --security --releasever=release_version_number

Remarque : remplacez release_version_number par la version pour laquelle vous souhaitez les mises à jour de sécurité.

Exécutez la commande suivante pour répertorier toutes les mises à jour de sécurité disponibles depuis la dernière version :

sudo dnf updateinfo list --security --releasever=latest

Application des mises à jour de sécurité

Amazon Linux 2

Pour installer uniquement les mises à jour liées à la sécurité, exécutez la commande suivante :

sudo yum update --security

Amazon Linux 2023

Pour installer uniquement les mises à jour de sécurité depuis une version précise, exécutez la commande suivante :

sudo dnf update --security --releasever=release_version_number

Remarque : remplacez release_version_number par la version que vous souhaitez utiliser pour les mises à jour de sécurité.

Pour installer uniquement les mises à jour de sécurité de la dernière version, exécutez la commande suivante :

sudo dnf update --security --releasever=latest

Recherche et correction des CVE dans les instances Linux Amazon EC2

Dans l’Amazon Linux Security Center, Amazon publie des avis de sécurité concernant les failles et vulnérabilités communes (Common Vulnerabilities and Exposures, CVE) qui affectent Amazon Linux 2 et Amazon Linux 2023.

Suivez les étapes ci-dessous pour rechercher et corriger votre instance en fonction d’un avis de sécurité :

  1. Ouvrez le CVE Amazon Linux 2 ou Amazon Linux 2023.
  2. Vérifiez si la version d’Amazon Linux que vous utilisez est concernée.
  3. Choisissez l’avis correspondant à la ressource ou au service AWS. Trouvez des informations détaillées sur le CVE, les packages concernés, la solution et la liste des nouveaux packages et de leurs versions.
  4. Prenez note de l’avis. Pour vérifier si le correctif est déjà installé, exécutez la commande suivante :
    sudo yum updateinfo list --security installed | grep 'ALAS2-2024-2607'
    Remarque : remplacez ALAS2-2024-2607 par l’identifiant de l’avis de sécurité que vous souhaitez vérifier. Si la sortie affiche l’entrée de l’avis de sécurité, le correctif correspondant à cette vulnérabilité est installé.

Affichage de la version d’Amazon EKS et d’Elastic Beanstalk ou des verrous de référentiel

Amazon Elastic Kubernetes Service (Amazon EKS) et les AMI AWS Elastic Beanstalk verrouillent des packages critiques ou des référentiels entiers vers des versions spécifiques afin d’optimiser les performances. Cela permet d’éviter les modifications involontaires qui altèrent la compatibilité de l’environnement.

Amazon Linux 2

Pour afficher les packages dont la version est verrouillée pour Amazon EKS, exécutez la commande suivante :

sudo yum versionlock list

Pour en savoir plus sur les AMI EKS verrouillées par version, consultez la section Version-locked packages sur le site Web GitHub.

Pour afficher les packages dont la version est verrouillée pour Elastic Beanstalk, exécutez la commande suivante :

sudo /opt/elasticbeanstalk/bin/pkg-repo status

Pour en savoir plus sur le verrouillage du référentiel Elastic Beanstalk, consultez Platform script tools for your Elastic Beanstalk environments.

Amazon Linux 2023

Les AMI Amazon Linux 2023 sont verrouillées sur une version de référentiel précise. Pour en savoir plus sur la gestion des référentiels et des mises à jour sur Amazon Linux 2023, consultez Manage package and operating system updates in AL2023 .

Migration vers une version ultérieure pour bénéficier d’une assistance logicielle

Dans certains cas, vous devez migrer vers une version ultérieure d’Amazon Linux pour bénéficier de l’assistance nécessaire pour les dernières versions logicielles. Vous pouvez également utiliser une version ultérieure pour continuer à recevoir les mises à jour de sécurité lorsqu’une version antérieure n’est plus prise en charge.

Voici des exemples de cas d’utilisation nécessitant des mises à niveau vers des versions ultérieures pour obtenir de l’assistance :

Important : avant de passer à une version ultérieure ou à une autre version d’Amazon EC2 Linux, vérifiez la compatibilité de vos applications et services.

Informations complémentaires

FAQ relatives à Amazon Linux 2

FAQ relatives à Amazon Linux 2023

Deterministic upgrades through versioned repositories on AL2023

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 mois