本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AL1 2016.03 版本備註
**警告**
不再支援 Amazon Linux 1 (AL1,先前稱為 Amazon Linux AMI)。本指南僅供參考。
**注意**
AL1 不再是 Amazon Linux 的目前版本。AL2023 是 AL1 和 Amazon Linux 2 的後續版本。如需 AL2023 新功能的詳細資訊,請參閱《[AL2023 使用者指南》中的比較 AL1 和 AL](https://docs.aws.amazon.com/linux/al2023/ug/compare-with-al1.html)[AL2023 ](https://docs.aws.amazon.com/linux/al2023/ug/) 一節,以及 [AL2023 中的套件變更](https://docs.aws.amazon.com/linux/al2023/release-notes/compare-packages.html)清單。
本主題包含 2016.03 版本的 AL1 版本備註更新。
## 升級到 AL1 2016.03 版
我們建議您從舊版升級至 AL1 2016.03 版。
雖然即使推出新的 AL1 版本,舊版 AMI 及其套件仍會繼續在 Amazon EC2 中啟動,但我們建議使用者遷移至最新版本的 AMI 並保持其系統更新。在某些情況下,在支援程序中,透過 尋求舊版 AL1 支援的客戶支援可能會被要求移至較新的版本。
若要從 2011.09 或更新版本升級至 AL1 2016.03 版,請執行 `sudo yum update`。升級完成後,請重新啟動執行個體。
請記住,AL1 儲存庫結構設定為提供持續的更新流程,可讓您從一個 AL1 版本滾動到下一個版本。如需詳細資訊,請參閱我們的lock-on-launch常見問答集,了解如何將執行個體 (新啟動或已執行的執行個體) 鎖定至特定版本的 AL1 儲存庫。
## 2016.03.3 點版本
已於 2016 年 6 月 28 日發行
我們已新增支援新推出的彈性網路轉接器 (ENA),這是 Amazon EC2 執行個體的新一代網路介面,包括 0.6.6 版的開放原始碼 ENA 驅動程式。
## 2016.03.2 點版本
已於 2016 年 6 月 9 日發行
我們已更新基本 AMI,以包含自 2016.03.1 點發行以來 儲存庫中可用的所有錯誤修正和安全性更新。
此點版本包含 4.4.11 核心。
Amazon Linux AMI 搭配 NVIDIA GRID GPU 驅動程式現在包含 NVIDIA 驅動程式 352.79 版和 CUDA 7.5.18。
## 2016.03.1 點版本
已於 2016 年 5 月 4 日發行
我們已更新基本 AMI,以包含自 2016.03 發行以來在儲存庫中提供的所有錯誤修正和安全性更新。
此點版本包含 4.4.8 核心。
我們已進行多項變更,以改善 AMI 重新啟動時間效能。
## 新功能
### 核心 4.4
過去的版本已追蹤 4.1 核心系列,在此版本中,我們已將核心移至 4.4 版,這是最新的長期穩定版本核心。
### SSLv3 通訊協定預設為停用
根據預設,在 OpenSSL 中停用 SSLv3 通訊協定有利於 TLS。在組態中具有 SSL/TLS 通訊協定清單的伺服器應用程式,預設已更新為排除 SSLv3。
在此版本中,SSLv3 支援尚未完全從任何密碼編譯程式庫中移除,因此您可以在支援的情況下依application-by-application此決策。
個別應用程式的 SSL 相關變更如下所述:
#### Apache:`mod_ssl`、 `mod24_ssl`
**注意**
本節適用於透過 `httpd`和 `mod_ssl`套件的 Apache 2.2,以及透過 `httpd24`和 `mod24_ssl`套件的 Apache 2.4。
Apache 中的 SSLv3 支援是由 `/etc/httpd/conf.d/ssl.conf`、 或 `mod_ssl``mod24_ssl`套件的一部分中的 `SSLProtocol`和 `SSLProxyProtocol`設定所控制。如果您正在執行新的安裝,或者您正在升級且尚未修改 `ssl.conf`,則會自動收到此變更。如果您要升級且已修改 `ssl.conf`,您可以將以下幾行新增至 `/etc/httpd/conf.d/ssl.conf` 並重新啟動`httpd`,以確保您使用的是 TLS。
**Example `ssl.conf` 範例**
```
SSLProtocol all -SSLv3
SSLProxyProtocol all -SSLv3
```
如果您需要啟用 SSLv3,您可以在這些行`-SSLv2`中`-SSLv3`將 變更為 並重新啟動 `httpd`。
#### Apache:`mod_nss`、 `mod24_nss`
**注意**
本節適用於透過 `httpd`和 `mod_nss`套件的 Apache 2.2,以及透過 `httpd24`和 `mod24_nss`套件的 Apache 2.4。
中的 SSLv3 支援`mod_nss`類似於 `mod_ssl`(請參閱上一節),但相關的組態選項位於 `NSSProtocol`中`/etc/httpd/conf.d/nss.conf`。在此版本中,SSLv3 預設已從此清單中移除。如果您正在執行新的安裝,或者如果您正在升級且尚未修改 `nss.conf`,則會自動收到此變更。如果您要升級且已修改 `nss.conf`,您可以將以下行新增至 `/etc/httpd/conf.d/nss.conf`並重新啟動`httpd`,以確保您使用的是 TLS。
**Example `nss.conf` 範例**
```
NSSProtocol TLSv1.0,TLSv1.1,TLSv1.2
```
如果您需要啟用 SSLv3,您可以將 `SSLv3` 新增至該清單並重新啟動 `httpd`。
#### nginx
中的 SSLv3 支援`nginx`是由 中的 `ssl_protocols`設定`http`和 組態中的`server`內容所控制。AL1 中 SSL 伺服器的預設 (註解) 組態現在包含僅指定 TLS 的`ssl_protocols`行,作為使用者設定新安全伺服器的建議。
如果您要升級 nginx 並希望確保只使用 TLS,請在組態的伺服器內容中包含以下行,然後重新啟動 nginx。
**Example 強制執行 TLS 的 nginx 組態範例**
```
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
```
如果您需要啟用 SSLv3,您可以將 `SSLv3` 新增至此行並重新啟動 nginx。
#### lighttpd
如果未在`lighttpd`組態檔案中指定 SSLv3,則預設為停用。如果您需要啟用 SSLv3,您可以將以下行新增至 `/etc/lighttpd/lighttpd.conf`並重新啟動 `lighttpd`。
**Example 在 中啟用 SSLv3 `lighttpd`**
```
ssl.use-sslv3 = "enable"
```
#### tomcat
Tomcat 使用 JVM for TLS。AL1 中的所有 OpenJDK 版本都已停用 SSLv3 支援。
#### openldap 和 389
的新安裝`openldap`包含 `TLSProtocolMin 3.1`中的 參數`slapd.conf`,用於在 中填入初始組態`cn=config`。
389 的新安裝包含 `sslVersionMin: TLS1.0`中的 參數`cn=config`。
升級至此版本的使用者可以使用 變更相關參數`ldapmodify`。
#### dovecot
`dovecot` 現在在 中包含以下行`/etc/dovecot/conf.d/10-ssl.conf`。
**Example `dovecot` 組態程式碼片段停用 SSLv2 和 SSLv3**
```
ssl_protocols = !SSLv2 !SSLv3
```
如果您剛安裝 `dovecot`,或者您正在升級且尚未修改 `10-ssl.conf`,則會自動收到此變更。如果您要升級`dovecot`且已修改 `10-ssl.conf`,您可以將上述行新增至 `/etc/dovecot/conf.d/10-ssl.conf` 並重新啟動`dovecot`,以確保您使用的是 TLS。
如果您需要啟用 SSLv3,`!SSLv3`請從該行移除 並重新啟動 `dovecot`。
#### `postfix`、`sendmail`、`postgresql`、`mysql`、`tomcat`-n`ative`、`haproxy`、`cyrus-imapd`、`stunnel`、`vsftpd`、 `fetchmail`
這些應用程式會從 OpenSSL 繼承其設定,且不會再使用 SSLv3。
### DNS 解析重試速度更快
預設 DNS 解析選項是從具有 5 秒逾時的兩次重試,到具有 2 秒逾時的 5 次重試。
中 DNS 解析的重試設定`glibc`得更快,因為已知與 Amazon EC2 解析程式的距離很短。這是在 AMI 中設定,而不是在套件中設定,因此 不會意外地引入變更`yum update`。
若要將相同的變更套用至現有執行個體,請將下列選項附加至適當的組態檔案:
1.
```
$ echo 'RES_OPTIONS="timeout:2 attempts:5"' | sudo tee -a /etc/sysconfig/network-scripts/ifcfg-eth0
```
1.
```
$ echo 'options timeout:2 attempts:5' | sudo tee -a /etc/resolv.conf
```
### 預設停用 NUMA 平衡
在此版本中,在核心中預設會停用 NUMA 平衡,以避免意外的效能降低。此變更只會影響支援 NUMA 的下列執行個體類型:
+ `cr1.8xlarge`
+ `c3.8xlarge`
+ `r3.8xlarge`
+ `i2.8xlarge`
+ `c4.8xlarge`
+ `d2.8xlarge`
+ `g2.8xlarge`
+ `m4.10xlarge`
如果您偏好先前的行為,您可以使用 sysctl 啟用 NUMA 平衡:
1.
```
$ sudo sysctl -w 'kernel.numa_balancing=1'
```
1.
```
$ echo 'kernel.numa_balancing = 1' | sudo tee /etc/sysctl.d/50-numa-balancing.conf
```
### OpenLDAP 2.4.40
OpenLDAP 2.4.40 自我們的 2015.09 版以來,已加入預覽儲存庫。OpenLDAP 2.4.40 現在可在主要儲存庫中使用。除了許多錯誤修正和穩定性增強之外,OpenLDAP 現在還支援閃電記憶體映射資料庫 (LMDB) 格式。
### Ruby 2.3
雖然 Ruby 2.0 仍是我們的預設 Ruby 解譯器,但我們已將`ruby23`套件新增至此 AL1 版本。核心 Rubygems 也已更新。
### Rust 1.9 (預覽版)
我們會繼續追蹤 Rust 編譯器的上游版本,在此版本中,我們包含 1.7 版。您可以執行 安裝 Rust 編譯器`sudo yum --enablerepo=amzn-preview install rust`。
更新 2016-06-08:Rust 1.9 現已可在預覽儲存庫中使用。
## 全新套件
我們的許多套件已重新同步至較新的上游版本。2016.03 中一些較熱門的套件包括:
+ aalib-1.4.0
+ aws-cli-1.10.33
+ clamav-0.99
+ docker-1.9.1
+ dovecot-2.2.10
+ elfutils-0.163
+ git-2.7.4
+ glibc-2.17-106.167
+ httpd24-2.4.18
+ iproute-4.4.0
+ java-1.7.0-openjdk-1.7.0.101
+ java-1.8.0-openjdk-1.8.0.91
+ kernel-4.4.11
+ lz4-r131
+ mariadb-connector-java-1.3.6
+ mysql55-5.5.46
+ mysql56-5.6.27
+ nmap-6.40
+ nginx-1.8.1
+ openldap-2.4.40
+ php55-5.5.33
+ php56-5.6.19
+ pngcrush-1.8.0
+ postgresql93-9.3.11
+ postgresql94-9.4.6
+ python-boto-2.39.0
+ python-botocore-1.4.23
+ ruby20-2.0.0.648
+ ruby21-2.1.8
+ ruby22-2.2.4
+ ruby23-2.3.0
+ samba-4.2.10
+ systemtap-3.0
+ tomcat7-7.0.68
+ tomcat8-8.0.32
## 支援的執行個體類型
[此相容性資料表](relnotes-2015.09.md#instance-types-2015.09)顯示在每個 Amazon EC2 執行個體類型上啟動的 2016.03 AMIs。