Amazon Linux2023（AL2023）がGAされました

概要

Amazon Linux 2023 が2023年3月15日（水）にGAされました。

5年間の長期サポートが付属しており、セキュリティとパフォーマンスに関する新機能が2年間その後、3年間は、セキュリティバグ修正やパッチが提供されます。

Amazon Linuxは伝統的にCentOSを中心としておりましたが、Amazon Linux 2023 では、Fedoraを中心とした体制となるため、従来とは異なるようです。

今回は、そんな特徴を持つAmazon Linux 2023（AL2023）を実際に使用してみました。

幾つか新機能や変更点がありますのでご紹介します。

レガシーホストキーアルゴリズムがデフォルトで無効

AL2023では内部のOpenSSHがRSA/SHA1(ssh-rsaシグネチャ)をデフォルトで無効化しているため、TeraTerm現時点で最新のVersion 4.106から接続できません。

rsa-sha2-256、rsa-sha2-512へ対応している、TeraTerm Version 5.0 beta1 として提供されていますが、β版ですので正式リリースを待つのが良いでしょう。

代替策として、WindowsであればCMD（コマンドプロンプト）上から、sshコマンドで対象のAL2023に接続し、暗号化ポリシーでレガシーに設定し、RSA/SHA1(ssh-rsaシグネチャ)で接続できるようにします。

dnf install crypto-policies-scripts
update-crypto-policies --set LEGACY

上記、コマンドを実行することでレガシー接続を許可することが可能ですが、セキュリティ上推奨されないプロトコルやアルゴリズムが許可されますので注意してください。

もしくは、sshd_configの設定に、ssh-rsaを許可する設定を記述することでも対応可能です。

sed -i '1s/^/PubkeyAcceptedAlgorithms=+ssh-rsa\n/' /etc/ssh/sshd_config
systemctl restart sshd.service

上記コマンドは、sshdに対してssh-rsaを許可する設定となります。

バージョンロック

以前のAL1、AL2と異なり、AMIに対してリポジトリがバージョン管理され、Amazon Linux パッケージリポジトリが特定のバージョンにロックされています。

現在、設定されているレポジトリバージョンは以下コマンドで確認可能で、「Amazon Linux 2023 release notes」で対象のバージョン情報の確認が可能です。

rpm -q system-release --qf "%{VERSION}\n"
2023.0.20230322

レポジトリバージョンを指定し、セキュリティ更新プログラムのみを適用することや、個々にパッケージをアップデートできます。

AL2023はデフォルトでセキュリティ更新を受け取らない為、パッケージ更新を受け取るために、リポジトリバージョンを指定する必要があります。

以下に更新コマンドの一例を示します。

dnf check-release-update
　→レポジトリバージョンに更新があるか確認でき、更新がある場合、レポジトリバージョンが出力されます。

dnf check-update --releasever={レポジトリバージョンを指定}
　→レポジトリバージョンを指定して更新パッケージを確認することが可能です。

dnf check-update --releasever={レポジトリバージョンを指定} --security
　→セキュリティ更新のみの更新を確認することが可能です。

dnf update sudo --releasever={レポジトリバージョンを指定}
　→特定パッケージ（ここでは sudo）パッケージ単位で更新することが可能です。

dnf upgrade --releasever={レポジトリバージョンを指定}
　→ディストリビューション全体でパッケージを一括更新したい場合に使用します。

カーネルライブパッチ

カーネルライブパッチとは、セキュリティの脆弱性と重大なバグパッチを実行中のアプリケーションを再起動または中断することなくパッチを当てることができる機能です。

パッチは最大3ヶ月提供されるようです。

筆者の環境ではカーネルライブパッチを確認することはできませんでしたが、公式で、解説されている箇所がありますのでこちらをご確認いただければ幸いです。

https://docs.aws.amazon.com/ja_jp/linux/al2023/ug/live-patching.html
　→カーネルライブパッチについての解説。

EPEL（Extra Packages for Enterprise Linux）

RHEL向けの追加パッケージを提供するEPELレポジトリをAL2023ではサポートしていません。

RHELやCentOS等との互換性を維持していないため、動作しないことが要因にあるようです。

まとめ

AL2023はFedoraを中心として開発されていますので、RHELやCentOS等とは少し使い勝手が変わってきます。

細かいことついては、解説しきれなかったので、別途、AWS公式等を確認することを推奨します。