Amazon Elastic Compute Cloud (Amazon EC2) の Linux インスタンスが更新され、脆弱性から保護されていることを確認したいと考えています。
解決策
利用可能なアップデートを確認
**注:**Amazon Linux 2 は yum コマンドを使用し、Amazon Linux 2023 は dnf コマンドを使用します。
セキュリティパッチやバグ修正を含む、Linux インスタンスで利用可能なパッケージアップデートを確認するには、次のコマンドを実行します。
Amazon Linux 2:
sudo yum check-update
Amazon Linux 2023:
sudo dnf check-update
コマンドの出力で、セキュリティ関連の更新や、kernel、OpenSSL、またはその他のコアライブラリなどの重要なシステムパッケージの更新のリストを確認します。
**注:**Amazon Linux 2023 はバージョン管理されたリポジトリを使用しています。デフォルトでは、各 Amazon Linux 2023 Amazon マシンイメージ (AMI) は特定のリポジトリバージョンにロックされています。Amazon Linux の新しいリリースがある場合は、yum check-update コマンドを実行して、アップグレード可能なバージョンに関する情報を確認します。
Amazon Linux 2023 の最新のパッチとアップデートを受け取るには、新しいバージョンにアップグレードしてください。
Amazon Linux 2023 の現在のリリースバージョンを表示するには、次のコマンドを実行します。
sudo dnf list installed | grep system-release
利用可能なすべてのリリースバージョンを表示するには、次のコマンドを実行します。
sudo dnf --showduplicates list system-release --releasever=latest
特定のリリースバージョンで利用可能なアップデートを確認するには、次のコマンドを実行します。
sudo dnf --releasever=release_version_number check-update
**注:**release_version_number を、更新を確認したいリリースバージョンに置き換えます。
最新リリースバージョンで利用可能なアップデートを確認するには、次のコマンドを実行します。
sudo dnf --releasever=latest check-update
特定のリリースバージョンにアップグレードするには、次のコマンドを実行します。
sudo dnf upgrade --releasever=release_version_number
**注:**release_version_number を、更新したいリリースバージョンに置き換えます。
最新バージョンにアップグレードするには、次のコマンドを実行します。
sudo dnf upgrade --releasever=latest
セキュリティアップデートを一覧表示する
Amazon Linux 2
利用可能なすべてのセキュリティアップデートを一覧表示するには、次のコマンドを実行します。
sudo yum updateinfo list --security
現在インストールされているセキュリティアップデートのリストを表示するには、次のコマンドを実行します。
sudo yum updateinfo list --security installed
Amazon Linux 2023
次のコマンドを実行して、特定のリリースバージョンから入手可能なすべてのセキュリティ更新を一覧表示します。
sudo dnf updateinfo list --security --releasever=release_version_number
**注:****release_version_number ** を、セキュリティ更新に必要なリリースバージョンに置き換えます。
次のコマンドを実行して、最新リリースバージョンから入手可能なすべてのセキュリティ更新を一覧表示します。
sudo dnf updateinfo list --security --releasever=latest
セキュリティアップデートを適用
Amazon Linux 2
セキュリティ関連の更新のみをインストールするには、次のコマンドを実行します。
sudo yum update --security
Amazon Linux 2023
特定のリリースバージョンのセキュリティアップデートのみをインストールするには、次のコマンドを実行します。
sudo dnf update --security --releasever=release_version_number
**注:**release_version_number を、セキュリティ更新に使用するリリースバージョンに置き換えてください。
最新リリースバージョンのセキュリティアップデートのみをインストールするには、次のコマンドを実行します。
sudo dnf update --security --releasever=latest
Amazon EC2 Linux インスタンスの CVE を検出してパッチを適用する
Amazon は、Amazon Linux 2 と Amazon Linux 2023 に影響する一般的な脆弱性と危険性 (CVE) に関するセキュリティ勧告を Amazon Linux セキュリティセンターで公開しています。
セキュリティアドバイザリに基づいてインスタンスを見つけてパッチを適用するには、次の手順を実行します。
- Amazon Linux 2 または Amazon Linux 2023 CVE を開きます。
- 使用している Amazon Linux のバージョンが影響を受けるかどうかを確認してください。
- AWS リソースまたはサービスのアドバイザリを選択します。CVE、影響を受けるパッケージ、解決策、および新しいパッケージとそのパッケージバージョンのリストに関する詳細情報を検索します。
- アドバイザリを書き留めます。パッチがすでにインストールされているかどうかを確認するには、次のコマンドを実行します。
sudo yum updateinfo list --security installed | grep 'ALAS2-2024-2607'
**注:**ALAS2-2024-2607 を確認したいセキュリティアドバイザリ識別子に置き換えます。出力にセキュリティアドバイザリエントリが表示される場合は、その脆弱性に対するパッチがインストールされています。
Amazon EKS と Elastic Beanstalk のバージョンまたはリポジトリロックを表示する
Amazon Elastic Kubernetes Service (Amazon EKS) と AWS Elastic Beanstalk AMI は、重要なパッケージまたはリポジトリ全体を特定のバージョンにロックして、最適なパフォーマンスを実現します。これにより、環境の互換性を変更する意図しない変更を防ぐことができます。
Amazon Linux 2
Amazon EKS のバージョンロックパッケージを表示するには、次のコマンドを実行します。
sudo yum versionlock list
バージョンロックされた EKS AMI の詳細については、GitHub Web サイトの「バージョンロックされたパッケージ」を参照してください。
Elastic Beanstalk のバージョンロックされたパッケージを表示するには、次のコマンドを実行します。
sudo /opt/elasticbeanstalk/bin/pkg-repo status
Elastic Beanstalk リポジトリロックの詳細については、「お使いの Elastic Beanstalk 環境用のプラットフォームスクリプトツール」を参照してください。
Amazon Linux 2023
Amazon Linux 2023 AMI は特定のリポジトリバージョンにロックされています。Amazon Linux 2023 でリポジトリとアップデートを管理する方法の詳細については、「AL2023 でのパッケージとオペレーティングシステムのアップデートの管理」を参照してください。
新しいバージョンに移行してソフトウェアサポートを受ける
場合によっては、最新のソフトウェアバージョンのサポートを受けるために Amazon Linux の新しいバージョンに移行する必要があります。または、以前のバージョンがサポートされなくなった後も、新しいバージョンを使用してセキュリティアップデートを引き続き受け取ることができます。
以下は、サポートのために新しいバージョンへのアップグレードが必要なユースケースの例です。
**重要:**新しいリリースバージョンまたは別のバージョンの Amazon EC2 Linux にアップグレードする前に、アプリケーションとサービスの互換性をテストしてください。
関連情報
Amazon Linux 2 に関するよくある質問
Amazon Linux 2023 に関するよくある質問
AL2023 のバージョン管理されたリポジトリによる確定的アップグレード