Blog home
Linux

Amazon Linux 2023: Ein umfassender Überblick über neue Funktionen und Updates

Chip Johnson
March 22, 2023
Lesedauer: 7 Minuten

Fast fünf Jahre nach der ersten Veröffentlichung von Amazon Linux 2 hat Amazon eine neue Amazon Linux LTS-Version vorgestellt, Amazon Linux 2023. Dieses Update bringt erhebliche Änderungen für Administratoren und Anwendungsentwickler mit sich und ist damit eine attraktive Alternative zu anderen Distributionen wie Ubuntu 22.04.

Mondoo_graphics_Amazon Linux 2023-02

In diesem Artikel behandeln wir die wichtigsten Updates in Amazon Linux 2023, erörtern, wie diese Funktionen zu einer sicheren Architektur beitragen, und untersuchen, wie Mondoo dazu beitragen kann, die besten Sicherheitspraktiken bei der Verwaltung Ihrer AWS-Infrastruktur aufrechtzuerhalten.

Amazon Linux 2023: Wichtige Änderungen und Updates

Amazon Linux 2023 präsentiert eine neu konzipierte Version von Amazon Linux mit verbesserten Sicherheits- und Leistungsfunktionen. Zu den wichtigsten Änderungen gehören neue Upstream-Definitionen, standardmäßig aktivierte Sicherheitsfunktionen, ein vorhersehbarer Veröffentlichungsrhythmus und „Versionssperren“ für Paket-Repositorys.

Neue Upstream-Definitionen

Amazon Linux 2023 ist auf eine neue Upstream-Quelle umgestellt. Während Amazon Linux 2 auf Red Hat Enterprise Linux (RHEL) 7 basierte, wird jede Hauptversion von Amazon Linux 2023 eine Kombination aus Fedora Linux und CentOS Stream verwenden. Amazon ersetzt dann bei Bedarf bestimmte Pakete aus anderen Upstream-Quellen. Die erste Version von Amazon Linux 2023 enthält Teile von Fedora 34, 35, 36 und CentOS 9 Stream. Amazon bezieht Kernel direkt von kernel.orgdie LTS-Versionen, unabhängig von der Fedora-Version, auf der sie basieren.

SELinux wird standardmäßig durchgesetzt

Langjährige Linux-Systemadministratoren haben möglicherweise beim Lesen von „SELinux enforcing by default“ ein leichtes Zucken verspürt. In der Vergangenheit bestand ein entscheidender erster Schritt bei der Behebung von Linux-Problemen darin, zu fragen: „Hat jemand versehentlich SELinux aktiviert?“

Amazon hat jedoch betont, dass bei Amazon Linux 2023 SELinux standardmäßig aktiviert und durchgesetzt wird. Sie erklären weiter: „SELinux ist ein Sicherheitsmodul, das Richtlinien zur Zugriffskontrolle bereitstellt. Es wird in der Branche häufig zur Sicherung von Linux-Servern und zum Schutz vor böswilligen Aktivitäten eingesetzt.“

Dies ist zwar korrekt, aber um die Auswirkungen auf den täglichen Gebrauch zu verstehen, ist mehr Kontext erforderlich. SELinux bietet verschiedene Betriebsmodi und Richtlinientypen, die durchgesetzt werden können. Die entscheidende Frage ist: Welche spezifischen SELinux-Komponenten werden standardmäßig durchgesetzt?

Bei der Untersuchung stellten wir fest, dass Amazon Linux 2023 standardmäßig zwei SELinux-Richtlinienpakete installiert:

  • Selinux-Richtlinie
  • Auf Selinux-Richtlinien ausgerichtet

Beide stammen aus dem gemeinsamen Repository, das Sie hier finden: https://github.com/fedora-selinux/selinux-policy/tree/rawhide/policy

Aber was ist das angestrebte Maßnahmenpaket?

Definieren wir zunächst eine SELinux-Domain. Einfach ausgedrückt ist eine Domäne ein Objekt, das eine Reihe von Berechtigungen darstellt, wobei jedem Prozess eine Domäne zugewiesen wird.

Zitat aus der Dokumentation: „Wenn gezielte Richtlinien verwendet werden, werden Prozesse, die als Ziel dienen, in einer eingeschränkten Domäne ausgeführt, und Prozesse, die nicht als Targeting gelten, werden in einer uneingeschränkten Domäne ausgeführt. Zum Beispiel laufen eingeloggte Benutzer standardmäßig im unbegrenzt_t Domäne, und Systemprozesse, die von init gestartet werden, laufen in der initrc_t Domain; beide Domänen sind unbegrenzt.“

Prozesse, die in einer uneingeschränkten Domäne laufen, können beschreibbaren Speicher zuweisen und diesen ausführen.

Umgekehrt laufen fast alle Prozesse, die im Netzwerk lauschen, in begrenzten Domänen, ebenso wie solche, die im Namen eines Benutzers als Root ausgeführt werden, wie passwd. Zum Beispiel die sshd Prozess läuft in der sshd_t Domain, die httpd Prozess läuft in der httpd_t Domäne.

Wenn ein Angreifer also gegen einen Prozess verstößt, der durch eine Domain begrenzt ist, sollte sein Systemzugriff eingeschränkt bleiben. Selbst mit einem locker konfigurierten httpd verhindert SELinux beispielsweise immer noch, dass Angreifer auf Dateien zugreifen, die zu Samba gehören.

Wenn Amazon angibt, dass Amazon Linux SELinux standardmäßig durchsetzt, bedeutet dies, dass die Zielrichtlinie standardmäßig aktiviert und durchgesetzt wird.

Konsistenter Veröffentlichungsrhythmus

In der Vergangenheit hatte Amazon Linux keinen regulären Veröffentlichungszeitplan. Das erste Amazon Linux wurde im September 2010 auf den Markt gebracht und bot einen zehnjährigen Support-Zyklus, der im Dezember 2020 endete. Sein Nachfolger, Amazon Linux 2, wurde im Dezember 2017 eingeführt und wird bis Juni 2025 unterstützt. Dieses inkonsistente Veröffentlichungsmuster machte es für Administratoren schwierig, Upgrades der EC2-Infrastruktur zu planen.

Dies ändert sich jedoch mit Amazon Linux 2023. Amazon ahmt den Ansatz von Ubuntu nach und hat einen zweijährigen Veröffentlichungszyklus für LTS-Distributionen eingeführt. Jede LTS-Version wird von zwei Jahren Standardsupport und einer darauffolgenden dreijährigen Wartungsperiode profitieren.

Amazon beabsichtigt, vierteljährliche Updates mit Sicherheitsverbesserungen, Bugfixes, neuen Funktionen und Paketen während des gesamten Standard-Supportfensters herauszugeben. Darüber hinaus verpflichtet sich Amazon, während der Wartungsphase Sicherheitspatches und wichtige Bugfixes zu veröffentlichen.

Um dies in der Praxis zu veranschaulichen, bietet Amazon Folgendes Diagramm:

image-png-1

Durch die Einführung eines konsistenteren Lebenszyklus für Amazon Linux hat Amazon den Prozess für Cloud-Administratoren optimiert, um langfristige Upgrade- und Wartungszyklen zu planen.

Find and fix the security risks that pose the biggest threat to your business.

Get started

Versionssperre erklärt

Die Versionssperre ist eine Funktion, für deren Erläuterung einige Hintergrundinformationen erforderlich sind.

Moderne Linux-Distributionen unterstützen eine Vielzahl von Software- und Anwendungsfällen sowie verschiedene Programmiersprachen. Dieselbe Linux-Version kann für Tools für maschinelles Lernen, grafische Rendering-Farmen, Bitcoin-Mining, das Hosten von Online-Spielesitzungen oder sogar für die Automatisierung von Hausbeleuchtungssystemen verwendet werden. Darüber hinaus kann dieselbe Linux-Distribution auf kleinen eingebetteten Systemen, Cloud-Umgebungen, Laptops oder großen Servern betrieben werden.

Es ist jedoch nicht praktikabel, Tools für maschinelles Lernen auf einem kleinen eingebetteten System zu installieren, das einen Garagentoröffner steuert. Um sicherzustellen, dass Systeme nur die notwendigen Funktionen enthalten, ohne dass unnötige Extras Speicherplatz beanspruchen, verlassen sich moderne Linux-Distributionen auf Paket-Repositorys. Ein Paket-Repository ist eine Sammlung von Software-Installationsprogrammen im Internet, die für eine bestimmte Linux-Distribution entwickelt wurden. Die meisten modernen Linux-Installationen verfügen über einen minimalen Softwaresatz.

Administratoren verwenden Automatisierungstools, um neue Software aus dem Repository zu suchen und auf ihren Systemen zu installieren. Die Pakete in den vom Anbieter bereitgestellten Repositorys werden vom Anbieter genehmigt, und der Support für die Pakete ist in der LTS-Supportvereinbarung enthalten.

In Amazon Linux 2 wurde ein Rolling-Update-Modell verwendet, um Funktions- und Sicherheitsaktualisierungen der Pakete in ihrem Repository durchzuführen. Im Wesentlichen verwaltete Amazon ein einziges, kanonisches Repository mit genehmigten Paketen für Amazon Linux 2 und aktualisierte die Pakete nach Bedarf.

Zum Beispiel, indem Sie eine ältere Amazon Linux AMI-Version wie 2017.09 oder früher starten und ausführen yum aktualisiere -y aktualisiert Pakete auf die neuesten verfügbaren Versionen. In der Praxis bedeutet dies, dass EC2-Instances, die zu unterschiedlichen Zeiten aus demselben Basis-Image erstellt wurden, unterschiedliche Paketsätze haben können, je nachdem, wann sie zuletzt aktualisiert wurden.

Die Verwaltung von Dutzenden, Hunderten oder Tausenden von Instanzen wird durch fortlaufende Paket-Updates zu einer Herausforderung. Wie kann man feststellen, welche OpenSSL-Version auf all den verschiedenen EC2-Instances installiert ist?

Screen Shot 2022-05-26 at 4.36.14 PM-1

Versionssperre ist die Lösung! Ab Amazon Linux 2023 wird jede Version an ein entsprechendes Paket-Repository gebunden. Dadurch können Systemadministratoren sicher sein, dass DNF-Aktualisierung auf Instances, die mit demselben Amazon Linux AMI erstellt wurden, wird derselbe Paketsatz verwendet, auch wenn die Upgrades im Abstand von Monaten oder Jahren erfolgen.

image-png-4

Amazon veröffentlicht Sicherheitsupdates für jede unterstützte Version von Amazon Linux 2022, behält sich jedoch Funktionsupgrades für die nächste vierteljährliche Version vor. Dies gewährleistet ein vorhersehbares Ergebnis beim Laufen DNF-Aktualisierung auf jedem Amazon Linux 2022.0-System, unabhängig davon, wann der Befehl ausgeführt wird.

Darüber hinaus ist das Upgrade einer langlebigen Instance von Amazon Linux 2023.0 auf Amazon Linux 2023.1 so einfach wie das Verweisen auf das Amazon Linux 2023.1-Paket-Repository mithilfe des dnf Paketmanager und Ausführung einiger Befehle.

Administratoren, die das ältere, fortlaufende Modell von Systemupdates bevorzugen, können die „neueste“ Version wählen, die immer auf die neuesten Amazon Linux 2023-Repositorys verweist.

Mondoo-Kompatibilität mit Amazon Linux 2023

Mondoo ist vollständig in der Lage, Amazon Linux 2023-Instances auf Sicherheitslücken und Sicherheitsfehlkonfigurationen zu scannen, unabhängig davon, ob sie auf einer traditionellen x86-Architektur, einer ARM-basierten Graviton-Architektur oder sogar in einer lokalen Entwicklungsumgebung oder einem Container auf Ihrem Laptop ausgeführt werden. Dank der Integration der Advisory- und Schwachstellen-Feeds für Amazon Linux 2023 durch Mondoo können Sie Mondoo verwenden, um Ihre Systeme sofort auf Sicherheitslücken zu überprüfen.

Darüber hinaus wird Mondoo, sobald das Center for Internet Security seinen Amazon Linux 2023 Benchmark veröffentlicht, diese wichtige Compliance-Richtlinie standardmäßig integrieren. Mondoo ist ein wichtiges Tool für viele Kunden, die bereits ihre Upgrades auf die neueste Amazon Linux-Version planen.

Abschließend

Amazon Linux 2023 markiert eine bedeutende Veränderung in Amazons Ansatz zur Bereitstellung seiner Linux-Plattform und stellt solide Weichen für die Zukunft. Mit neuen Upstream-Definitionen, standardmäßgem SELinux-Targeting, Versionssperren und einem vorhersehbaren Veröffentlichungsrhythmus haben Benutzer, die für ihre Infrastruktur auf Amazon Linux angewiesen sind, viel zu erwarten. Mondoo ist bestrebt, Sie beim Übergang in eine sicherere und effizientere Zukunft zu unterstützen.

Chip Johnson

Chip Johnson ist Produktmanager bei Mondoo und konzentriert sich auf die Herstellung von Werkzeugen, die Sie lieben werden. Er ist seit 2010 Teil der DevOps-Community. Zuletzt hatte er Positionen bei Auth0, Sonatype und Chef Software inne. Seit 1993 macht und macht er Dinge im Internet kaputt

You might also like

Vergleiche
Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen
Deborah Galea
August 4, 2025
Sanierung
Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben
Parag Baxi
July 24, 2025
Sanierung
Branchenweit erste Priorisierung von Problembehebungen unter Berücksichtigung der Auswirkungen und des Aufwands
Deborah Galea
July 24, 2025

Stay informed with our news and new articles

Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.