Amazon Linux 2 FAQ
일반 질문
Q. Amazon Linux 2란 무엇인가요?
Amazon Linux 2는 Amazon Linux 운영 체제로, 현대식 애플리케이션 환경에 Linux 커뮤니티의 최신 향상 기능과 함께 장기적인 지원을 제공합니다. Amazon Linux 2는 Amazon Machine Image(AMI) 및 컨테이너 이미지 형식 외에 온프레미스 개발 및 테스트를 위한 가상 머신 이미지로도 제공되므로, 로컬 개발 환경에서 바로 애플리케이션을 손쉽게 개발, 테스트 및 인증할 수 있습니다.
Q. Amazon Linux 2에 대한 지원은 언제 종료되나요?
고객에게 다음 버전으로 마이그레이션할 수 있는 충분한 시간을 제공하기 위해, Amazon Linux 2 지원 종료 날짜(EOL)가 2023년 6월 30일에서 2025년 6월 30일로 2년 연장되었습니다.
Q. Amazon Linux 2와 Amazon Linux 2023의 차이점은 무엇인가요?
이러한 배포판 간의 주요 차이점에 대한 자세한 내용은 설명서를 참조하세요.
Q. Amazon Linux 2를 사용하면 어떤 이점이 있나요?
Amazon Linux AMI와 마찬가지로, Amazon Linux 2는 최신 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 기능을 지원하며 AWS와 쉽게 통합할 수 있는 패키지를 포함합니다. 튜닝된 최신 Linux 커널 버전을 통해 Amazon EC2에서 사용하도록 최적화되었습니다. 그 결과, 많은 고객 워크로드가 Amazon Linux 2에서 더 나은 성능을 발휘합니다. Amazon Linux 2 오퍼는 보안 및 유지 보수 업데이트를 통해 2025년 6월 30일까지 지원됩니다. Amazon Linux 2는 온프레미스 가상 머신 이미지로 제공되므로 로컬 개발 및 테스트가 가능합니다.
Q. Amazon Linux 2에서 지원되는 워크로드 또는 사용 사례는 어떤 것들이 있나요?
Amazon Linux 2는 데이터베이스, 데이터 분석, 업무용 애플리케이션, 웹 및 데스크톱 애플리케이션 등 프로덕션 환경의 가상화되고 컨테이너화된 다양한 워크로드에 적합합니다. 또한 EC2 베어메탈 인스턴스에서 베어메탈 OS와 가상화 호스트 모두로 사용할 수 있습니다.
Q. Amazon Linux 2의 핵심 구성 요소는 무엇인가요?
Amazon Linux 2의 핵심 구성 요소는 다음과 같습니다.
- Amazon EC2에서 높은 성능을 제공하도록 조정된 Linux 커널
- AWS로부터 장기 지원(LTS)을 받는 systemd, GCC 7.3, Glibc 2.26, Binutils 2.29.1을 비롯한 핵심 패키지 세트
- 장기 지원(LTS) 모델과 무관하게 자주 업데이트될 가능성이 있는 빠르게 발전하는 기술을 위한 추가 채널
Q. Amazon Linux 2는 Amazon Linux AMI와 어떻게 다른가요?
Amazon Linux 2와 Amazon Linux AMI의 주요 차이점은 다음과 같습니다.
- Amazon Linux 2는 2025년 6월 30일까지 장기적으로 지원됩니다.
- Amazon Linux 2는 온프레미스 개발 및 테스트를 위한 가상 머신 이미지로 제공됩니다.
- Amazon Linux AMI의 System V init 시스템과 달리, Amazon Linux 2는 시스템 서비스 및 시스템 관리자를 제공합니다.
- Amazon Linux 2에는 업데이트된 Linux 커널, C 라이브러리, 컴파일러 및 도구가 함께 제공됩니다.
- Amazon Linux 2는 추가 메커니즘을 통해 추가 소프트웨어 패키지를 설치할 수 있는 기능을 제공합니다.
Q. AWS에서 Amazon Linux 2 사용을 시작하려면 어떻게 해야 하나요?
AWS는 Amazon EC2 콘솔, AWS SDK 및 CLI에서 인스턴스를 시작하는 데 사용할 수 있는 Amazon Linux 2용 Amazon Machine Image(AMI)를 제공합니다. 자세한 내용은 Amazon Linux 설명서를 참조하세요.
Q. Amazon EC2에서 Amazon Linux 2 실행 시 이와 관련하여 비용이 발생하나요?
아니요. Amazon Linux 2를 실행하는 데 따른 추가 요금은 없습니다. 표준 Amazon EC2 및 AWS 요금은 Amazon EC2 인스턴스 및 기타 서비스 실행에 적용됩니다.
Q. Amazon Linux 2는 어떤 Amazon EC2 인스턴스 유형을 지원하나요?
Amazon Linux 2는 HVM AMI를 지원하는 모든 Amazon EC2 인스턴스 유형을 지원합니다. Amazon Linux 2는 반가상화(PV) 기능이 필요한 이전 인스턴스를 지원하지 않습니다.
Q. Amazon Linux 2는 32비트 애플리케이션 및 라이브러리를 지원하나요?
예. Amazon Linux 2는 32비트 애플리케이션 및 라이브러리를 지원합니다. 2018년 10월 4일 이전에 출시된 Amazon Linux 2 버전을 사용 중인 경우, ‘yum upgrade’를 실행하여 32비트를 완벽하게 지원할 수 있습니다.
Q. Amazon Linux 2에는 그래픽 사용자 인터페이스(GUI) 데스크톱이 함께 제공되나요?
예. Amazon Linux 2에서는 MATE 데스크톱 환경이 추가로 제공됩니다. Amazon WorkSpaces는 GUI를 갖춘 클라우드 Amazon Linux 2 기반 클라우드 데스크톱을 제공합니다. 자세한 내용은 여기를 참조하세요.
Q. Amazon Linux 2 구성 요소의 소스 코드를 볼 수 있나요?
예. Amazon Linux 2의 yumdownloader --source 도구는 많은 구성 요소에 대한 소스 코드 액세스를 제공합니다.
Q. Python 2.7이 여전히 Amazon Linux 2에 포함되어 있는 이유는 무엇인가요?
업스트림 Python 커뮤니티가 2020년 1월에 Python 2.7 지원 종료를 선언했지만, AWS는 Amazon Linux 2 코어 패키지에 대한 LTS 약속에 따라 (2025년 6월까지) Python 2용 중요 보안 패치를 계속 제공할 예정입니다.
Q. 코드를 Python 2.7에서 Python 3으로 마이그레이션해야 하나요?
고객이 Amazon Linux 2 시스템에 Python 3을 설치하고 코드와 애플리케이션을 Python 3으로 마이그레이션할 것을 적극 권장합니다.
Q. Amazon Linux 2의 Python 2.7 지원이 종료될 예정인가요?
기본 Python 인터프리터를 변경할 계획은 없습니다. Amazon Linux 2의 수명 주기 동안 Python 2.7을 기본값으로 유지하는 것이 저희의 의도입니다. 필요에 따라 보안 수정 사항을 Python 2.7 패키지로 백포트할 예정입니다.
Q. 왜 Amazon Linux 2는 'yum' 패키지 관리자용 Python 2.7 지원을 종료하거나 Python 3 기반의 DNF로 전환하지 않나요?
운영 체제의 LTS 릴리스 중에는 다른 패키지 관리자를 본질적으로 변경하거나 교체하거나 추가할 위험이 매우 높습니다. 따라서 Amazon Linux용 Python 3 마이그레이션을 계획하면서 Amazon Linux 2 내에서가 아니라 주요 릴리스 경계를 넘나들며 이 작업을 수행하기로 결정했습니다. 이는 LTS 약정이 없는 경우에도 다른 RPM 기반 Linux 배포판에서 공유하는 접근 방식입니다.
Q. 커널 5.10은 커널 4.14와 어떻게 다른가요?
커널 5.10에는 인텔 Ice Lake 프로세서 및 최신 세대 EC2 인스턴스를 지원하는 Graviton 2에 대한 최적화를 포함해 다수의 기능 및 성능 개선이 포함됩니다.
보안 관점에서 볼 때 고객은 공격 대상이 적은 효과적인 가상 사설망을 설정하고 오버헤드를 줄이면서 암호화를 허용하는 WireGuard VPN의 이점을 누릴 수 있습니다. 또한 커널 5.10은 커널 봉쇄 기능이 있어 커널 이미지에 대한 무단 변경을 방지하고, CO-RE(컴파일 한 번에 어디서나 실행)를 포함해 여러 BPF 개선 사항을 제공합니다.
입출력 작업이 많은 고객은 쓰기 성능 향상, 프로세스 간 안전한 io_uring 링 공유를 통한 입출력 작업 속도 향상, 스토리지 디바이스와의 호환성 향상을 위한 새로운 exFAT 시스템 지원 등의 이점을 누릴 수 있습니다. 다중 경로 TCP(MPTCP)가 추가됨에 따라 다수의 네트워크 인터페이스를 사용하는 고객은 모든 가용 네트워크 경로를 조합해 처리량을 높이고 네트워크 장애를 줄일 수 있습니다.
장기 지원
Q. Amazon Linux 2에 대한 장기 지원에는 무엇이 포함되나요?
Amazon Linux 2에 대한 장기 지원은 핵심 패키지에만 적용되며 다음이 포함됩니다.
1) AWS는 2025년 6월 30일까지 코어의 모든 패키지에 대한 보안 업데이트 및 버그 수정을 제공합니다.
2) AWS는 코어의 다음 패키지에 대해 사용자 공간 애플리케이션 바이너리 인터페이스(ABI) 호환성을 유지합니다.
elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs, zlib
3) AWS는 코어의 다른 모든 패키지에 대해 애플리케이션 바이너리 인터페이스(ABI) 호환성을 제공합니다. 단, AWS가 통제할 수 없는 이유로 호환성을 제공할 수 없는 경우는 예외입니다.
Q. Amazon Linux 2는 커널 공간 ABI 호환성을 유지하나요?
아니요. Amazon Linux 2는 커널 공간 ABI 호환성을 유지하지 않습니다. 업스트림 Linux 커널이 변경되어 ABI 안정성이 저하되는 경우 서드 파티 커널 드라이버를 사용하는 애플리케이션을 추가로 수정해야 할 수 있습니다.
Q. AWS는 Amazon Linux 2의 보안 수정 사항을 백포트합니까?
예. Amazon은 정기적으로 최신 버전의 업스트림 소프트웨어 패키지에서 수정 사항을 가져와 Amazon Linux 2의 패키지 버전에 적용합니다. 이 과정에서 Amazon은 수정 사항을 다른 변경 사항으로부터 격리하고 수정 사항으로 인해 원치 않는 부작용이 발생하지 않는지 확인한 다음 수정 사항을 적용합니다.
Q. 장기 지원 정책이 Extras 주제에도 적용되나요?
Extras 주제의 콘텐츠는 장기 지원 및 바이너리 호환성에 대한 Amazon Linux 정책에서 제외됩니다. Extras 주제는 빠르게 발전하는 기술을 엄선한 목록을 제공하며 자주 업데이트될 가능성이 높습니다. Extras 주제에 있는 패키지의 새 버전이 출시되면 최신 패키지에 대해서만 지원이 제공됩니다. 시간이 지남에 따라 이러한 기술은 계속 발전하고 안정화될 것이며 결국에는 Amazon Linux 2 장기 지원 정책이 적용되는 Amazon Linux 2 ‘코어’ 리포지토리에 추가될 수 있습니다.
Q. LTS 빌드가 릴리스된 후에 추가 Amazon Linux 2 빌드가 제공되나요?
예. 새 빌드는 동일한 리포지토리를 가리키며, 미해결 업데이트를 적용할 필요가 없도록 누적 보안 및 기능 업데이트 세트를 포함합니다.
Q. Amazon Linux 2 업데이트는 어디에서 받을 수 있나요?
Amazon Linux 2 업데이트는 각 AWS 리전에서 호스팅되는 사전 구성된 리포지토리와 함께 제공됩니다. 새 인스턴스를 처음 시작할 때 Amazon Linux는 크리티컬 또는 중요 업데이트로 평가된 사용자 공간 보안 업데이트를 설치하려고 시도합니다. 또한 인스턴스 시작 시 크리티컬 또는 중요 보안 패치의 자동 설치를 활성화하거나 비활성화할 수 있습니다.
Q. Amazon Linux 2의 보안 패치를 대규모로 자동화하려면 어떻게 해야 하나요?
AWS Systems Manager Patch Manager는 Amazon Linux 2와 연동하여 Amazon Linux 2 인스턴스를 대규모로 패치하는 프로세스를 자동화합니다. Patch Manager는 누락된 패치를 스캔하거나, 누락된 패치를 스캔한 후 대규모 인스턴스 그룹에 설치할 수 있습니다. Systems Manager Patch Manager를 사용하여 비보안 업데이트용 패치를 설치할 수도 있습니다.
Q. Amazon Linux 2에 사용할 수 있는 프리미엄 서포트 옵션에는 어떤 것이 있나요?
Amazon Web Services(AWS)에서의 Amazon Linux 2 사용에 대한 지원은 AWS Support 구독을 통해 제공됩니다.
AWS Support는 현재 Amazon Linux 2의 온프레미스 사용을 지원하지 않습니다. Amazon Linux 2 포럼과 Amazon Linux 2 설명서는 Amazon Linux 2의 온프레미스 사용을 위한 주요 지원 소스입니다. Amazon Linux 2 포럼에서 질문을 게시하고 버그를 신고하고 기능을 요청할 수 있습니다.
Amazon Linux 2 LTS Candidates 및 Amazon Linux AMI 지원
Q. Amazon Linux 2 LTS Candidates 2에서 Amazon Linux 2의 LTS 버전으로 단계적 업그레이드를 수행할 수 있나요?
예. Amazon Linux 2 LTS Candidate 2에서 Amazon Linux 2로의 단계적 업그레이드가 가능합니다. 하지만 최종 LTS 빌드의 변경 사항으로 인해 애플리케이션이 손상될 수 있습니다. 마이그레이션하기 전에 먼저 Amazon Linux 2를 새로 설치하여 애플리케이션을 테스트하는 것이 좋습니다.
Q. AWS는 앞으로 Amazon Linux AMI를 지원할 예정인가요?
예. Amazon Linux 2로의 마이그레이션을 지원하기 위해 AWS는 2020년 12월 31일까지 Amazon Linux의 최종 버전과 컨테이너 이미지에 대한 보안 업데이트를 제공했습니다. 또한 AWS 프리미엄 서포트 및 Amazon Linux 토론 포럼과 같은 모든 기존 지원 채널을 사용하여 지원 요청을 계속 제출할 수 있습니다.
Q. Amazon Linux 2는 기존 버전의 Amazon Linux AMI와 역호환되나요?
Amazon Linux 2에는 systemd와 같은 구성 요소가 포함되어 있기 때문에 현재 버전의 Amazon Linux에서 실행되는 애플리케이션을 Amazon Linux 2에서 실행하려면 추가 변경이 필요할 수 있습니다.
Q. 기존 버전의 Amazon Linux AMI에서 Amazon Linux 2로 인플레이스 업그레이드를 수행할 수 있나요?
아니요. 기존 Amazon Linux 이미지에서 Amazon Linux 2로의 인플레이스 업그레이드는 지원되지 않습니다. 마이그레이션하기 전에 먼저 Amazon Linux 2를 새로 설치하여 애플리케이션을 테스트하는 것이 좋습니다.
Q. Amazon Linux AMI를 실행하는 인스턴스를 Amazon Linux 2로 단계적으로 업그레이드할 수 있나요?
아니요. Amazon Linux를 실행하는 인스턴스는 단계적 업그레이드 메커니즘을 통해 Amazon Linux 2로 업그레이드되지 않습니다. 따라서 기존 애플리케이션은 중단되지 않습니다. 자세한 내용은 Amazon Linux 설명서 및 마이그레이션 도구를 참조하세요.
온프레미스 사용
Q. Amazon Linux 2는 어떤 온프레미스 가상화 플랫폼에서 실행되나요?
Amazon Linux 2 가상 머신 이미지는 현재 KVM, Microsoft Hyper-V, Oracle VM VirtualBox 및 VMware ESXi 가상화 플랫폼에서 개발 및 테스트용으로 사용할 수 있습니다. AWS는 이러한 가상화 플랫폼에 대한 인증을 추진하고 있습니다.
Q. 로컬 개발 환경에서 Amazon Linux 2 가상 머신 이미지 사용을 시작하려면 어떻게 해야 하나요?
지원되는 각 하이퍼바이저에 대한 가상 머신 이미지를 다운로드할 수 있습니다. 이미지를 다운로드한 후 Amazon Linux 설명서에 따라 시작하세요.
Q: 온프레미스로 Amazon Linux 2를 실행하는 것과 관련하여 비용이 발생하나요?
아니요. Amazon Linux 2를 온프레미스로 실행하는 데 따른 추가 요금은 없습니다.
Q. Amazon Linux 2 온프레미스로 실행하려면 AWS 계정이 필요한가요?
아니요. AWS 계정이 없어도 온프레미스로 Amazon Linux 2를 실행할 수 있습니다.
Q. Amazon Linux 2를 실행하기 위한 최소 시스템 요구 사항은 무엇인가요?
Amazon Linux 2에는 512MB 이상의 메모리, 가상 CPU 1개, 에뮬레이트된 BIOS를 갖춘 64비트 가상 머신이 필요합니다.
Q. Amazon Linux 2의 온프레미스 VM 이미지는 AWS로부터 보안 업데이트를 받을 수 있나요?
예. AWS는 2025년 6월 30일까지 코어의 모든 패키지에 대한 보안 업데이트 및 버그 수정을 제공합니다. 또한 AWS는 코어의 다음 패키지에 대해 사용자 공간 애플리케이션 바이너리 인터페이스(ABI) 호환성을 유지합니다.
Q. AWS Support에서 Amazon Linux 2의 온프레미스 VM 이미지에 대한 유료 지원을 받을 수 있나요?
아니요. 현재 AWS Support는 온프레미스에서 실행되는 Amazon Linux 2 VM에 대해서는 유료 지원을 제공하지 않습니다. Amazon Linux 2 포럼을 통한 커뮤니티 지원은 온프레미스 사용과 관련한 질문에 답하고 문제를 해결하기 위한 기본 지원 소스입니다. Amazon Linux 2 설명서에서는 Amazon Linux 2 가상 머신 및 컨테이너를 운영하고, OS를 구성하고, 애플리케이션을 설치하는 데 필요한 지침을 제공합니다.
Amazon Linux 보안
Q. Amazon Linux는 CVE를 어떻게 평가하나요?
Amazon Linux는 내부 프로세스를 통해 발견된 일반 취약성 및 노출(CVE)을 평가하고, 제품에 대한 잠재적 위험을 평가하며, 보안 업데이트 또는 공지와 같은 조치를 취합니다. CVE에는 취약성의 심각도에 대한 점수와 순위를 매기는 표준 방법인 일반 취약성 평가 시스템(CVSS) 점수가 부여됩니다. CVE 데이터의 주요 출처는 국가 취약성 데이터베이스(NVD)입니다. 또한 Amazon Linux는 공급업체 공지, 고객 및 연구원의 보고서 등 다른 출처에서도 보안 인텔리전스를 수집합니다.
Q: Amazon Linux 보안 권고에서 해당 버전에서 CVE가 수정되었다고 주장하는데 보안 스캐너가 Amazon Linux 패키지의 수정되지 않은 CVE를 보고하는 이유는 무엇인가요?
대부분의 Linux 배포판과 마찬가지로 Amazon Linux는 정기적으로 보안 수정 사항을 리포지토리에 제공되는 안정적인 패키지 버전으로 백포트합니다. 이러한 패키지를 백포트로 업데이트하면 해당 문제에 대한 Amazon Linux 보안 공지에 Amazon Linux에서 문제가 해결된 특정 패키지 버전이 나열됩니다. 프로젝트 작성자의 버전 관리에 의존하는 보안 스캐너는 특정 CVE 수정 사항이 이전 버전에 적용되었음을 인식하지 못하는 경우가 있습니다. 고객은 Amazon Linux 보안 센터(ALAS)에서 보안 문제 및 수정 사항에 대한 업데이트를 참조할 수 있습니다.
Q. Amazon Linux는 보안 문제의 심각도를 어떻게 알리나요?
Amazon Linux Security는 Amazon Linux 보안 센터(ALAS)에서 Amazon Linux 제품에 영향을 미치는 보안 공지를 알립니다. 보안 공지는 일반적으로 공지 ID, 문제의 심각도, CVE ID, 공지 개요, 영향을 받는 패키지 및 문제 수정 사항을 포함합니다. 공지에 언급된 CVE에는 CVSS 점수(CVSSv3 점수를 사용하지만 2018년 이전 CVE에는 CVSSv2 점수가 있을 수 있음)와 영향을 받는 패키지에 대한 벡터가 있습니다. 점수는 0~10 사이의 십진수이며, 점수가 높을수록 취약성이 더 심각함을 나타냅니다. Amazon Linux는 오픈 프레임워크 CVSSv3 계산기 점수를 기준으로 기본 지표를 결정합니다. 등급은 보안 문제의 심각도를 고객에게 전달하는 방법입니다. 고객은 이러한 등급을 환경의 주요 특성과 결합하여 보다 적절한 위험 평가를 수행할 수 있습니다.
Q. 고객이 최신 Amazon Linux의 보안 공지를 계속 확인하려면 어떻게 해야 하나요?
Amazon Linux는 고객이 RSS 피드를 구독하거나 HTML을 구문 분석하도록 스캔 도구를 구성할 수 있는 인적 및 컴퓨터 소모품 보안 공지를 제공합니다. AWS 제품에 대한 피드는 다음에서 확인할 수 있습니다.
Amazon Linux 1/Amazon Linux 1 RSS
Amazon Linux 2/Amazon Linux 2 RSS
Amazon Linux 2023/Amazon Linux 2023 RSS
AL2 FIPS FAQ
Q: FIPS 140-2란 무엇인가요?
Federal Information Processing Standard(FIPS) 140-2에는 민감한 정보를 보호하는 암호화 모듈에 대한 보안 요구 사항이 명시되어 있습니다. 2020년 9월에 Cryptographic Module Validation Program(CMVP)은 FIPS 140-3으로 이전되었으며 새로운 검증 인증서를 받기 위해 FIPS 140-2를 제출하는 것을 더 이상 수락하지 않습니다.
2026년 9월 21일까지 양국의 연방 기관에서는 민감한 정보(미국) 또는 지정 정보(캐나다) 보호를 위해 FIPS 140-2를 준수하는 것으로 검증된 모듈을 계속해서 수락할 것입니다. 이 날짜 이후 모든 FIPS 140-2 검증 모듈은 CMVP의 기록 목록에 등재됩니다.
Q: Amazon Linux 2에서 FIPS를 활성화하려면 어떻게 해야 하나요?
FIPS 모드 활성화에 대한 지침은 FIPS 모드 활성화에서 찾을 수 있습니다.
Q: Amazon Linux 2 FIPS는 검증되었나요?
Amazon Linux 2 암호화 모듈(OpenSSL, Libgcrypt, NSS, GnuTLS, Kernel 모듈)은 FIPS 140-2 검증을 완료했습니다. 자세한 내용은 CMVP 웹 사이트를 참조하세요.
Q: AL2의 FIPS 상태는 무엇인가요?
암호화 모듈 이름 | 관련 패키지 | 상태 | 인증 번호 | 인증 만료 날짜 |
OpenSSL | openssl1.0.2k | 활성 | 4548 | 2024년 10월 22일 |
Libgcrypt | libgcrypt-1.5 | 활성 | 3618 | 2025년 2월 18일 |
NSS | nss-softokn-3.36/nss-softokn-freebl-3.36. |
활성 | 4565 | 2025년 4월 19일 |
GnuTLS | gnutls-3.3 | 활성 | 4472 | 2025년 4월 19일 |
Kernel Crypto API | kernel-4.14 | 활성 | 4593 | 2025년 9월 13일 |
Q: 2024년 10월 이후에 AL2에서 FIPS를 준수하려면 어떻게 해야 하나요?
AL2 FIPS 인증은 2024년 10월부터 점진적으로 소멸됩니다. AL2 FIPS 검증 모듈은 AL2023 암호화 모듈이 FIPS 검증을 완료하기 전에 기록 상태가 될 가능성이 높습니다. AL2023 버전으로 마이그레이션하거나 기록 상태의 AL2 FIPS 검증 모듈을 사용하는 것에 대해 규정 준수 팀에 문의하는 것이 좋습니다.
Q: Amazon Linux 2 테스트는 어떤 운영 환경에서 시행되었나요?
AL2 OpenSSL, NSS, Libgcyprt, Kernel 및 GnuTLS는 인텔 및 Graviton에서 FIPS 140-2 검증을 완료했습니다. 자세한 내용은 CMVP 웹 사이트를 참조하세요.
Amazon Linux Extras
Q. Amazon Linux Extras란 무엇인가요?
Extras는 2025년 6월 30일까지 지원되는 안정적인 운영 체제에서 새 버전의 애플리케이션 소프트웨어를 사용할 수 있도록 하는 Amazon Linux 2의 메커니즘입니다. Extras는 OS의 안정성과 사용 가능한 최신 소프트웨어 간에 절충해야 할 필요성을 완화하는 데 도움이 됩니다. 예를 들어 이제 5년 동안 지원되는 안정적인 운영 체제에 최신 버전의 MariaDB를 설치할 수 있습니다. Extras의 예로는 Ansible 2.4.2, memcached 1.5, nginx 1.12, Postgresql 9.6, MariaDB 10.2, Go 1.9, Redis 4.0, R 3.4, Rust 1.22.1 등이 있습니다.
Q. Amazon Linux Extras는 어떻게 작동하나요?
Extras는 소프트웨어 번들 선택을 위한 주제를 제공합니다. 각 주제에는 소프트웨어가 Amazon Linux 2에 설치되고 작동하는 데 필요한 모든 종속 구성 요소가 포함되어 있습니다. 예를 들어 Rust는 Amazon에서 제공하는 선별된 목록의 Extras 주제입니다. 시스템 프로그래밍 언어인 Rust의 도구 체인과 런타임을 제공합니다. 이 주제에는 Rust용 cmake 빌드 시스템, Rust 패키지 관리자인 cargo, Rust용 LLVM 기반 컴파일러 도구 체인이 포함됩니다. 각 주제와 관련된 패키지는 잘 알려진 yum 설치 프로세스와 함께 사용됩니다.
Q. Amazon Linux Extras 리포지토리에서 소프트웨어 패키지를 설치하려면 어떻게 해야 하나요?
Amazon Linux 2 쉘에서 amazon-linux-extras 명령을 사용하여 사용 가능한 패키지를 나열할 수 있습니다. Extras에서 제공하는 패키지는 ‘sudo amazon-linux-extras install’ 명령을 사용하여 설치할 수 있습니다.
예: $ sudo amazon-linux-extras install rust1
Amazon Linux Extras를 시작하는 방법에 대한 자세한 내용은 Amazon Linux 설명서를 참조하세요.
Q. Extras에 포함된 패키지는 장기 지원이 적용되는 ‘코어’로 이동되나요?
시간이 지남에 따라, 빠르게 발전하는 Extras의 기술들은 계속해서 발전하고 안정화될 것이며, 장기 지원 정책이 적용되는 Amazon Linux 2 ‘코어’에 추가될 수 있습니다.
ISV 지원
Q. Amazon Linux 2에서 실행할 수 있는 서드 파티 애플리케이션은 어떤 것들이 있나요?
Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX 등이 참여하는 Amazon Linux 2의 독립 소프트웨어 개발 판매 회사(ISV) 커뮤니티는 빠르게 성장하고 있습니다.
지원되는 ISV 애플리케이션의 전체 목록은 Amazon Linux 2 페이지에서 확인할 수 있습니다.
Amazon Linux 2에서 애플리케이션 인증을 받으려면 저희에게 문의하세요.
커널 라이브 패치
Q. Amazon Linux 2에서 커널 라이브 패치란 무엇인가요?
Amazon Linux 2의 커널 라이브 패치는 재부팅할 필요 없이 실행 중인 Linux 커널에 보안 및 버그 수정을 바로 적용할 수 있는 기능입니다. Amazon Linux 커널용 라이브 패치는 Amazon Linux 2의 기존 패키지 리포지토리로 전달되며, 기능이 활성화되면 'yum update —security'와 같은 일반 yum 명령을 사용하여 적용할 수 있습니다.
Q. Amazon Linux 2에서 커널 라이브 패치를 사용하는 사용 사례는 어떤 것들이 있나요?
Amazon Linux 2의 커널 라이브 패치 대상 사용 사례는 다음과 같습니다.
- 긴급 패치를 통해 서비스 중단 없이 심각도가 높은 보안 취약성과 데이터 손상 버그를 해결합니다.
- 장기 실행 작업이 완료된 경우에, 사용자가 로그아웃한 경우에, 또는 예약된 재부팅 시간대를 기다리지 않고 보안 업데이트를 적용하기 위해 OS 업데이트를 적용합니다.
- 가용성이 높은 시스템에서 반복적인 재부팅이 필요하지 않아 보안 패치를 신속하게 배포할 수 있습니다.
Q. AWS는 어떤 경우에 커널 라이브 패치를 제공하나요?
AWS는 일반적으로 기본 Amazon Linux 2 커널의 CVE를 수정하기 위한 커널 라이브 패치를 제공합니다. 이는 AWS에서 크리티컬 또는 중요 문제로 평가한 CVE를 수정하기 위한 커널 라이브 패치를 제공합니다. Amazon Linux 보안 공지의 크리티컬 및 중요 등급은 일반적으로 일반 취약성 평가 시스템(CVSS) 점수 7점 이상에 해당합니다. 또한 AWS는 시스템 안정성 문제 및 잠재적 데이터 손상 문제를 해결하기 위해 일부 버그 수정을 위한 커널 라이브 패치도 제공합니다. 기술적 한계로 인해 심각도가 높음에도 불구하고 커널 라이브 패치가 제공되지 않는 소수의 문제가 있을 수 있습니다. 예를 들어 어셈블리 코드를 변경하거나 함수 시그니처를 수정하는 수정 사항의 경우 커널 라이브 패치가 제공되지 않을 수 있습니다. AWS에서 구축 및 제공하지 않은 Amazon Linux 2 Extras의 커널과 서드 파티 소프트웨어에는 커널 라이브 패치가 제공되지 않습니다.
Q. Amazon Linux 2에서 커널 라이브 패치를 사용하는 것과 관련한 요금이 부과되나요?
Amazon Linux 2용 커널 라이브 패치는 무료로 제공됩니다.
Q. Amazon Linux 2에서 커널 라이브 패치를 사용하려면 어떻게 해야 하나요?
커널 라이브 패치는 Amazon에서 제공하며 Amazon Linux 2 및 AWS Systems Manager Patch Manager의 yum 패키지 관리자 및 유틸리티와 함께 사용할 수 있습니다. 각 커널 라이브 패치는 RPM 패키지로 제공됩니다. 커널 라이브 패치는 현재 Amazon Linux 2에서 기본적으로 비활성화되어 있습니다. 사용 가능한 yum 플러그인을 사용하여 커널 라이브 패치를 활성화 및 비활성화할 수 있습니다. 그런 다음 yum 유틸리티의 기존 워크플로를 사용하여 커널 라이브 패치를 비롯한 보안 패치를 적용할 수 있습니다. 또한 kpatch 명령줄 유틸리티를 사용하여 커널 라이브 패치를 열거, 적용 및 활성화/비활성화할 수 있습니다.
- 'sudo yum install -y yum-plugin-kernel-livepatch'는 Amazon Linux에 커널 라이브 패치 기능을 위한 yum 플러그인을 설치합니다.
- 'sudo yum kernel-livepatch enable -y’'는 플러그인을 활성화합니다.
- ‘sudo systemctl enable kpatch.service’는 Amazon Linux에서 사용되는 커널 라이브 패치 인프라인 kpatch 서비스를 활성화합니다.
- 'sudo amazon-linux-extras enable livepatch’는 커널 라이브 패치 리포지토리 엔드포인트를 추가합니다.
- 'yum check-update kernel'은 업데이트할 수 있는 커널의 목록을 표시합니다.
- 'yum updateinfo list'는 사용 가능한 보안 업데이트를 나열합니다.
- 'sudo yum update --security'는 보안 수정 사항으로 사용할 수 있는 커널 라이브 패치를 포함하여 사용 가능한 패치를 설치합니다.
- ‘kpatch list’는 로드된 모든 커널 라이브 패치를 나열합니다.
Q. AWS Systems Manager Patch Manager는 라이브 패치를 지원하나요?
예. AWS SSM Patch Manager를 사용하면 패치가 라이브 패치로 제공될 때 재부팅할 필요 없이 즉시 적용하도록 커널 라이브 패치 적용을 자동화할 수 있습니다. 시작하려면 SSM Patch Manager 설명서를 참조하세요.
Q. 커널 라이브 패치를 통해 제공되는 보안 패치에 대한 세부 정보는 어디서 얻을 수 있나요?
AWS는 보안 취약성을 해결하는 커널 라이브 패치에 대한 세부 정보를 Amazon Linux 보안 센터에 게시합니다.
Q. 커널 라이브 패치 사용에 제한이 있나요?
Amazon Linux 2에서 커널 라이브 패치를 적용하는 동안에는 하이버네이션을 동시에 수행하거나 SystemTap, kprobes, eBPF 기반 도구와 같은 고급 디버깅 도구를 사용하고 커널 라이브 패치 인프라에서 사용하는 ftrace 출력 파일에 액세스할 수 없습니다.
Q. Amazon Linux 2에 커널 라이브 패치를 적용하는 동안 발생할 수 있는 문제를 해결하려면 어떻게 해야 하나요?
커널 라이브 패치와 관련하여 문제가 발생하는 경우 패치를 비활성화하고 AWS 포럼 게시물을 통해 AWS Support 또는 Amazon Linux Engineering 팀에 알려주세요.
Q. Amazon Linux 2에서 커널 라이브 패치를 적용하면 보안 패치를 적용하기 위해 재부팅할 필요가 전혀 없나요?
Amazon Linux 2의 커널 라이브 패치는 OS 재부팅의 필요성을 완전히 없애지는 못하지만, 계획된 유지 보수 기간 이외의 시간에 크리티컬 및 중요 보안 문제를 해결하기 위해 재부팅해야 하는 경우가 크게 줄어듭니다. Amazon Linux 2의 각 Linux 커널은 Amazon Linux 커널이 출시된 후 대략 최대 3개월 동안 라이브 패치를 받게 됩니다. 3개월마다 운영 체제를 최신 Amazon Linux 커널로 재부팅해야 커널 라이브 패치를 계속 받을 수 있습니다.
Q. Amazon Linux 2를 사용한 커널 라이브 패치가 지원되는 EC2 인스턴스 및 온프레미스 환경은 무엇인가요?
Amazon Linux 2의 커널 라이브 패치는 Amazon Linux 2가 지원되는 모든 x86_64(AMD/인텔 64비트) 플랫폼에서 지원됩니다. 여기에는 모든 HVM EC2 인스턴스, AWS의 VMware Cloud, VMware ESXi, VirtualBox, KVM, Hyper-V 및 KVM이 포함됩니다. ARM 기반 플랫폼은 현재 지원되지 않습니다.
Q. AWS는 커널 라이브 패치와 함께 제공되는 OS 업데이트에 대해 정기적인(‘비라이브’) 패치를 계속 제공할 예정인가요?
예. AWS는 모든 OS 업데이트에 대해 정기적인 패치를 계속 제공할 예정입니다. 일반적으로 일반 패치와 커널 라이브 패치가 동시에 제공됩니다.
Q. 커널 라이브 패치가 적용된 Amazon Linux 2 시스템에서 재부팅을 수행하면 어떻게 되나요?
기본적으로 재부팅을 수행하면 커널 라이브 패치가 일반 ‘비라이브’ 패치로 대체됩니다. 커널 라이브 패치를 일반 패치로 대체하지 않고도 재부팅을 수행할 수 있습니다. 자세한 내용은 Amazon Linux 2 커널 라이브 패치 설명서를 참조하세요.
Q. 커널 라이브 패치는 Amazon Linux 2의 ABI 호환성에 영향을 미치나요?
Amazon Linux 2의 커널 라이브 패치는 Amazon Linux 2의 커널 ABI 호환성을 변경하지 않습니다.
Q. 커널 라이브 패치를 적용하는 동안 발생할 수 있는 문제에 대해 프리미엄 서포트를 받으려면 어떻게 해야 하나요?
AWS Support의 비즈니스 및 엔터프라이즈 플랜에는 커널 라이브 패치를 비롯한 Amazon Linux의 모든 기능에 대한 프리미엄 서포트가 포함됩니다. AWS는 AWS에서 제공하는 커널 라이브 패치만 지원하므로, 서드 파티 커널 라이브 패치 솔루션과 관련한 문제는 공급업체에 문의하시기 바랍니다. 또한 AWS는 Amazon Linux 2에서 커널 라이브 패치 솔루션을 하나만 사용할 것을 권장합니다.
Q. 커널 라이브 패치는 Amazon Linux 보안 센터에 어떻게 표시되나요?
각 커널 라이브 패치별로 Amazon Linux 보안 센터 목록에 전용 행이 표시됩니다. 항목에는 ‘ALASLIVEPATCH-<datestamp>’와 같은 식별 정보가 표시되며 패키지 이름은 ‘kernel-livepatch-<kernel-version>’로 표시됩니다.
Q. Amazon Linux 커널에는 얼마 동안 라이브 패치가 제공되나요?
커널 버전에는 약 3개월 동안 라이브 패치가 제공됩니다. Amazon Linux는 최근에 출시된 6개 커널에 대한 커널 라이브 패치를 제공합니다. 커널 라이브 패치는 Amazon Linux 2에서 릴리스된 기본 커널에서만 지원된다는 점에 유의하세요. Extras의 차세대 커널에는 커널 라이브 패치가 제공되지 않습니다.
현재 Linux 커널에 라이브 패치가 계속 제공되는지 여부와 해당 지원 기간이 종료되는 시점을 확인하려면 다음 yum 명령을 사용하세요.
‘yum kernel-livepatch supported’
Q. 커널 라이브 패치에 지원되는 yum 워크플로는 무엇인가요?
커널 라이브 패치 yum 플러그인은 yum 패키지 관리 유틸리티에서 일반적으로 지원되는 모든 워크플로를 지원합니다. 예를 들어 ‘yum update’, ‘yum update kernel’, ‘yum update —security’, ‘yum update all’ 등이 지원됩니다.
Q. 커널 라이브 패치는 서명되어 있나요?
커널 라이브 패치 RPM은 GPG 키를 통해 서명됩니다. 하지만 커널 모듈은 현재 서명되어 있지 않습니다.