ようへいの日々精進XP

よかろうもん

2018 年 09 月 22 日 (土)

ジョギング

  • 自宅から福岡空港をぐるっと一周, だいたい 14 キロくらい
  • 想定よりも距離が長くてビビった
  • 簡単に足にきてしまった感じで, 福岡マラソン大丈夫かって気分

日課

  • (腕立て x 50 + 腹筋 x 50) x 3

引越し片付け進捗

  • 蔵書をクローゼットに押し込んだ
  • 古い書類等は徹底的に破棄, 整理しなければと思っていた各種書類をクリアファイルに整理したので少しすっきりした

奥さんが出演している DVD

  • アダルト DVD ではない
  • 奥さんが過去に所属していたボーカルチームのライブ DVD を見る
  • DVD の中の奥さんはイキイキと歌っていて輝いていたので, 今後も歌は続けて欲しいな

2018 年 09 月 22 日 (土)

ジョギング

  • 山王公園と自宅往復で 40 分くらい
  • 意外にランナーが多くてテンション上がった
  • そろそろランニングシューズを変えたい

日課

  • おやすみ

麺処かわべ

  • 昨日, ランチでごぼ天うどん食べた麺処かわべで今日もごぼ天うどんを食べた
  • 常連さんもいるらしく, 肉うどんの肉だけ単品で頼んで, おあげさんも単品で頼んでトッピングしながら食べているお婆ちゃんにはびっくりした

いろいろ買い出し

  • 家具やら日用品を見に行く
  • コーナンがめちゃ安で驚いた

俺の tools

AWS WAF のデフォルトアクションだけをコマンドラインでいじりたくて作った.

github.com

ちなみに, 以下のようなサイトを作ってみた.

start.oreno.tools

2018 年 09 月 21 日 (金)

ジョギング

  • 山王公園を 20 分程
  • 右腰から股関節にかけてつっぱるような痛み

山王公園, 走る分にはいい感じな公園. これからはココを拠点に頑張ろう.

goo.gl

日課

  • (腕立て x 50 + 腹筋 x 50) x3

ランチ

新オフィスの近くで。博多のソウルフード、ごぼ天うどんと天むすを頂きます。550 円也。

2018 年 09 月 20 日 (木)

ジョギング

  • 引き続き, おやすみ
  • 腰痛が...
  • 引越しのドサクサにまぎれて走れてないな

日課

  • おやすみ

改めて, ゴキ氏

  • 2 匹程現れたそうで...
  • マジ泣きたい

JAWS-UG 福岡もくもく会

もくもく出来たと思う.

ボトルを入れた

新居の近くにある居酒屋で.

今日の AWS ~ AWS Certified Solutions Architect – Professional Level のサンプル問題に挑む ~

公開されているサンプル試験問題を解く. なぜ, その答えになるのかをちゃんと理解する必要がある.

Q6. Storage Gateway

設問

  • 900GB のデータを中央ファイルサーバー経由で共有する, 社内のレガシーエンジニアリングアプリケーションをホストしている
  • エンジニアリングデータは, メガバイトから数ギガバイトまでのサイズのファイルが数千ある
  • エンジニアは通常, 1日に 5〜10% のファイルを修正する
  • CTO はこのアプリケーションをAWSに移行したいが, 週末にアプリケーションを移行してユーザのダウンタイムを最小限に抑えることができる場合に限る
  • 既存の 45Mbps インターネット接続を使用して 900GB のデータを転送するには, 最低48時間かかる

AWS でアプリケーションの環境を複製した後, どのオプションを使用すれば, アプリケーションのデータをAWSに移行できるか.

選択肢

A) Copy the data to Amazon S3 using multiple threads and multi-part upload for large files over the weekend, and work in parallel with your developers to reconfigure the replicated application environment to leverage Amazon S3 to serve the engineering files.

  • 複数のスレッドを使用して Amazon S3 にデータをコピーし, 週末に大容量ファイルのマルチパートアップロードを行う
  • 開発者と連携して複製されたアプリケーション環境を再構成して Amazon S3 を利用してエンジニアリングファイルを提供する

B) Sync the application data to Amazon S3 starting a week before the migration, on Friday morning perform a final sync, and copy the entire data set to your AWS file server after the sync completes.

  • マイグレーションの 1 週間前から, アマゾン S3 にアプリケーションデータを同期させる
  • 金曜日の午前には最終同期を実行し, 同期が完了したらデータセット全体を AWS ファイルサーバーにコピーする

C) Copy the application data to a 1-TB USB drive on Friday and immediately send overnight, with Saturday delivery, the USB drive to AWS Import/Export to be imported as an EBS volume, mount the resulting EBS volume to your AWS file server on Sunday.

  • アプリケーションデータを金曜日に 1TB の USB ドライブにコピーし
  • すぐに土曜日の配送で一晩送って, USB ドライブを AWS インポート/エクスポートに EBS ボリュームとしてインポート
  • 日曜日に結果の EBS ボリュームを AWS ファイルサーバーにマウントする

D) Leverage the AWS Storage Gateway to create a Gateway-Stored volume. On Friday copy the application data to the Storage Gateway volume. After the data has been copied, perform a snapshot of the volume and restore the volume as an EBS volume to be attached to your AWS file server on Sunday.

  • AWS Storage Gateway を活用してゲートウェイ格納ボリュームを作成
  • 金曜日にアプリケーションデータを Storage Gateway ボリュームにコピーする
  • データのコピー後, 日曜日にボリュームのスナップショットを実行して, AWS ファイルサーバーに接続する EBS ボリュームとしてボリュームを復元する

解答

  • B だと思う

一週間前からデータ同期やってるいるので, ひとまず全データは S3 にコピーは完了するし, S3 と AWS ファイルサーバー間であれば転送時間は短縮できるような気がする...

なぜ, その答えなん?

  • A) だと週末だけでファイルを転送出来ない可能性がある (転送に最低でも 48 時間かかるというので...)
  • C) 1TB の USB ドライブにコピーする時間, 配送する時間, AWS インポート, エクスポートする時間等不確定要素が多すぎるので俺なら選択しない
  • D) Gateway Stored Volumes だと要件を満たさない, 設問の場合だと Gateway-Cached Volumes を選ぶべき

Storage Gateway について

2018 年 09 月 19 日 (水)

ジョギング

  • おやすみ
  • 腰痛が...
  • 引越しのドサクサにまぎれて走れてないな

日課

  • おやすみ

Watson とか k8s とか

  • Watson とか k8s のハンズオンセミナーに午後から参加, 自宅から徒歩圏内で参加できるのは素晴らしいなあ
  • ハンズオンセミナーなのですごく簡単に実装できるように資料を作り込んであって, すごく敷居の高そうな Watson とか k8s をサクッと試すことが出来て良かった
  • 特に k8s は初体験だったけど, そもそも概念とか用語からちゃんと勉強しないとマジで業界の中で死ぬなと痛感 (今後, k8s が使われ続けるかは分からないけど, すくなくとも現状では...デファクトであることは間違いない)

あと, セミナーの中で以下のようなサイトを教えてもらった.

Patterns アーカイブ - IBM Code

クラウドデザインパターンGithub で管理されたコードまでくっついている感じ. Github で管理されたコードがくっついているというのがミソ.

ゴキ氏

  • 新居に初めてゴキ氏が出たらしい
  • 入居前からゴキ氏の登場を懸念して, オプションで消毒をお願いしていたのに...
  • ひとまず, 不動産屋さんに奥さんがクレームを入れてくれたらしいけど, どうなることやら

2018 年 09 月 18 日 (火)

ジョギング

  • おやすみ

日課

  • おやすみ

引越し

朝イチから木挽きブルーを背負って掃除頑張ってます。吉田羊さんもびっくりでしょう。

  • 約 4 年住んだ香椎を後にして博多区に来た
  • 奥さんが孤軍奮闘した感じで本当に頑張っていたので感謝したい
  • この歳になると引越しもかなり辛いということが判ったのと, たまたまだったかもしれないけど, サカイ引越センターのナイスガイ達の働きぶりは最高だった

博多最初の夜

  • 自宅近くに良い居酒屋を発見
  • そう言えば, 美味しんぼ山岡士郎が結婚した後に住んだ家の近くにも小料理があったよなーなんて思いながら引越しの反省会をやった

2018 年 09 月 17 日 (月)

ジョギング

  • おやすみ
  • なぜか全身筋肉痛

日課

  • おやすみ

引越し準備追い込み

  • 奥さんにほとんど任せっきりだったので, 今日ぐらいはちゃんと手伝えればと思ったけど...あんまり役に立たなかったみたい
  • ひとまず, 明日はなんとかなるさ〜

香椎最後の夜

  • しっぽりと更けていく感じ
  • 明日も早いのでさっさと寝よう

今日の AWS ~ AWS Certified Solutions Architect – Professional Level のサンプル問題に挑む ~

公開されているサンプル試験問題を解く. なぜ, その答えになるのかをちゃんと理解する必要がある.

Q4. 機密性の高い情報の保護するアーキテクチャ (AWS CloudHSM)

設問

  • 機密性の高い情報を取得してユーザーに表示するWebサイトを構築している
  • サイトへのトラフィック量は想定されていない
  • サイトは SSL を利用してクライアントと Web サーバー間の通信を保護する
  • SSL 秘密鍵について, 誤ってか意図せずに自分の環境の外に鍵を移動できないようにする必要がある
  • サイトに表示されるデータは暗号化された EBS ボリュームに保存される
  • Web サーバーのログには機密情報が含まれている可能性がある為, ログは社員のみが解読できるように保存する必要がある

これらすべての要件を満たすアーキテクチャはどれか.

選択肢

A) Use Elastic Load Balancing to distribute traffic to a set of web servers. To protect the SSL private key, upload the key to the load balancer and configure the load balancer to offload the SSL traffic. Write your web server logs to an ephemeral volume that has been encrypted using a randomly generated AES key.

  • Elastic Load Balancing を使って, 一連の Web サーバーにトラフィックを分散させる
  • SSL 秘密鍵を保護は, 鍵をロードバランサにアップロードしてロードバランサを設定して SSL トラフィックをオフロードする
  • ランダムに生成された AES キーを使用して暗号化されたエフェメラルボリュームに Web サーバーログを書き込む

B) Use Elastic Load Balancing to distribute traffic to a set of web servers. Use TCP load balancing on the load balancer and configure your web servers to retrieve the private key from a private Amazon S3 bucket on boot. Write your web server logs to a private Amazon S3 bucket using Amazon S3 server-side encryption.

  • Elastic Load Balancingを使って, 一連の Web サーバーにトラフィックを分散させる
  • ロードバランサで TCP ロードバランシングを使用して, 起動時に非公開の Amazon S3 バケットから秘密鍵を取得するようにWebサーバーを構成する
  • Amazon S3 サーバー側の暗号化を使用して, Web サーバーログを非公開の Amazon S3 バケットに書き込む

C) Use Elastic Load Balancing to distribute traffic to a set of web servers, configure the load balancer to perform TCP load balancing, use an AWS CloudHSM to perform the SSL transactions, and write your web server logs to a private Amazon S3 bucket using Amazon S3 server-side encryption.

  • Elastic Load Balancing を使用して, Web サーバーのセットにトラフィックを分散して TCP ロードバランシングを構成する
  • また, ELB にて AWS CloudHSM を使用して SSL トランザクションを実行する
  • プライベートな Amazon S3 バケットに S3 サーバー側の暗号化を用いて Web サーバーログを書き込む

D) Use Elastic Load Balancing to distribute traffic to a set of web servers. Configure the load balancer to perform TCP load balancing, use an AWS CloudHSM to perform the SSL transactions, and write your web server logs to an ephemeral volume that has been encrypted using a randomly generated AES key.

  • Elastic Load Balancing を使用して, 一連のWebサーバーにトラフィックを分散する
  • TCP ロードバランシングを実行するようにロードバランサを設定し, AWS CloudHSM を使用してSSLトランザクションを実行する
  • ランダムに生成された AES キーを使用して暗号化されたエフェメラルボリュームに Web サーバーログを書き込む

解答

  • C かな...

なぜ, その答えなん?

いつもの消去法.

  • A) ELB で SSL をオフロードさせるのは良さそう, ただ, ログデータをエフェメラルストレージに書き込むのはいかがなものか
  • B) S3 バケットから秘密鍵を取得するようにって... うっかりバケットから鍵を削除してしまうこともありうるので要件を満たされていない
  • D) については, CloudHSM で秘密鍵の管理は安心できそうだけど, A) と同様にログをエフェメラルストレージに置いて大丈夫なん?

ということで, 消去法でいくと C) になるかなと.

え, AWS CloudHSM って何?

Q5. ネットワーク設計

設問

  • ファットクライアントアプリケーション用のネットワーク接続を設計している
  • ホテルの客室, カフェ, 公共 Wi-Fi ホットスポット, およびインターネットの他の場所から接続できる必要があるビジネストラベラー向けに設計されている
  • インターネット上にアプリケーションを公開する必要は無い
  • 展開と運用コストを最小限に抑えながら, どのネットワーク設計が上記の要件を満たしているか

選択肢

A) Implement AWS Direct Connect, and create a private interface to your VPC. Create a public subnet and place your application servers in it.

B) Implement Elastic Load Balancing with an SSL listener that terminates the back-end connection to the application.

  • アプリケーションへのバックエンド接続を終端する SSL リスナーを使用して Elastic Load Balancing を実装する

C) Configure an IPsec VPN connection, and provide the users with the configuration details. Create a public subnet in your VPC, and place your application servers in it.

D) Configure an SSL VPN solution in a public subnet of your VPC, then install and configure SSL VPN client software on all user computers. Create a private subnet in your VPC and place your application servers in it.

  • VPC のパブリックサブネットに SSL VPN ソリューションを設定し, 全ユーザコンピュータに SSL VPN クライアントソフトウェアをインストールして設定する
  • VPC にプライベートサブネットを作成し, アプリケーションサーバーをそのサブネットに配置する

解答

  • うーむ, アプリケーションはインターネット上に公開する必要がないという要件だけを考慮すると D なのかなあ
  • ただ, 運用コストを考慮すると, 全ユーザーコンピュータに SSL VPN クライアントをインストールって辛い

なぜ, その答えなん?

  • A) は Direct Connect の運用コストが高いし, アプリケーションサーバーはパブリックサブネットに配置する必要は無い
  • B) インターネットに公開しないので ELB は要らないと思う (SG で蓋をしてしまえばいいけど, そこまで言及されていない)
  • C) アプリケーションサーバーはパブリックサブネットに展開する必要がない, VPN の構成情報をアプリユーザーに提供する点に違和感 (セキュアじゃない?)

ということで, これまた消去法.

2018 年 09 月 16 日 (日)

ジョギング

  • 霧島ホテルから国道一号線を 15 分程下って折り返すというコースを 30 分程の 7 キロ程度
  • 下りは調子良かったけど... めちゃくちゃキツかった
  • 父が車で伴走してくれたけど, 掛け声も何もなかったので, ただダラダラ車で走っている感じが面白かった

日課

  • おやすみ

古稀祝い day 2

  • 昨晩のお酒が若干残っていたけど, ジョギングに行ったりして充実していたと思う
  • 朝湯に浸かり, 朝ごはんをたらふく食べてからチェックアウト
  • 両親と別れた後, そのまま帰る予定だったけど, 霧島神宮に手を合わせて帰ってきた

樹木希林さん

news.yahoo.co.jp

富士フィルムの CM とか本当にいい味だしていたよなあ. 合掌.

今日の AWS ~ AWS Certified Solutions Architect – Professional Level のサンプル問題に挑む ~

公開されているサンプル試験問題を解く. なぜ, その答えになるのかをちゃんと理解する必要がある.

Q2. ディザスタリカバリ戦略

設問

  • とある ERP アプリケーションが 1 つのリージョンの複数の AZ に配置されていましたとさ
  • 障害が発生した場合, RTO は 3 時間未満, RPO は 15 分未満
  • これを満たす選択肢はどれか

選択肢

A) Take 15-minute DB backups stored in Amazon Glacier, with transaction logs stored in Amazon S3 every 5 minutes.

  • 15 分毎に Glacier にデータベースのバックアップを取得
  • 5 分毎に S3 にトランザクションログを取得

B) Use synchronous database master-slave replication between two Availability Zones.

  • 2 つの AZ 間で同期するマスター, スレーブ構成のデータベースを利用する

C) Take hourly DB backups to Amazon S3, with transaction logs stored in S3 every 5 minutes.

  • 1 時間毎に S3 にデータベースをバックアップを取得する
  • 5 分毎にトランザクションログを S3 に取得する

D) Take hourly DB backups to an Amazon EC2 instance store volume, with transaction logs stored in Amazon S3 every 5 minutes.

解答

  • 多分 C... かな

なぜ, その答えなん?

  • 選択肢 A) は Glacier を使っている時点で, データを復旧する時間が RTO を満たさない可能性がある
  • 選択肢 B) はレプリケーションではデータ破損やロストは担保出来ない (破損データやロスト自体も同期されてしまう)
  • 選択肢 D) EC2 インスタンスストアにデータベースバックアップを取得している時点で殺される

ということで, 今回も消去法でいくと選択肢 C) になってしまう.

センセー, RTO とか RPO ってなんすか

  • RTO (被災時点からどれだけの時間で業務を復旧させるかという目標値)
  • RPO (過去のどの時点までのデータを保障して復旧させるかという目標値)

Q3. 費用対効果が高くてスケーラブルなアーキテクチャについて

設問

以下のようなアプリケーションを実装した.

  • JavaScript を利用して, 携帯電話やブラウザ, タブレット等で動作する
  • 80文字の要約でランダムな行為を知らせる (意味わかんないけど, 多分ツイッターみたいなのだと思っている)
  • 要約データを DynamoDB に保存する

このアプリケーションは大きなスパイクが発生しないことは既に確認出来ているが, どの選択肢が費用対効果が高くてスケーラブルなアーキテクチャか.

選択肢

A) Provide the JavaScript client with temporary credentials from the Security Token Service using a Token Vending Machine (TVM) on an EC2 instance to provide signed credentials mapped to an Amazon Identity and Access Management (IAM) user allowing DynamoDB puts and S3 gets. You serve your mobile application out of an S3 bucket enabled as a web site. Your client updates DynamoDB.

  • トークンを使用してセキュリティトークンサービスから一時的な資格情報を JavaScript クライアントに提供する
  • EC2 インスタンス上の TVM を使用して, IAM ユーザーにマップされた署名済みの資格情報を提供する

B) Register the application with a Web Identity Provider like Amazon, Google, or Facebook, create an IAM role for that provider, and set up permissions for the IAM role to allow S3 gets and DynamoDB puts. You serve your mobile application out of an S3 bucket enabled as a web site. Your client updates DynamoDB.

  • Amazon, Google, Facebook などの Web アイデンティティプロバイダにアプリケーションを登録して IAM を作成します
  • プロバイダのロールを設定し, S3 の get と DynamoDB の put 権限が付与された, IAM ロールのアクセス許可を設定
  • モバイルアプリケーションは Web サイトホスティングが有効になった Amazon S3 にて提供する

C) Provide the JavaScript client with temporary credentials from the Security Token Service using a Token Vending Machine (TVM) to provide signed credentials mapped to an IAM user allowing DynamoDB puts. You serve your mobile application out of Apache EC2 instances that are load-balanced and autoscaled. Your EC2 instances are configured with an IAM role that allows DynamoDB puts. Your server updates DynamoDB.

  • STS からトークンを使用して JavaScript クライアントに一時的な資格情報を提供する
  • TVM 使用して, IAM ユーザーにマップされた署名された資格情報を提供して DynamoDB へのデータ put を有効にする
  • ELB と AutoScaling を利用しした EC2 インスタンスからモバイルアプリケーションを提供する
  • EC2 インスタンスは, DynamoDB の put を許可する IAM ロールが構成されている

D) Register the JavaScript application with a Web Identity Provider like Amazon, Google, or Facebook, create an IAM role for that provider, and set up permissions for the IAM role to allow DynamoDB puts. You serve your mobile application out of Apache EC2 instances that are load-balanced and autoscaled. Your EC2 instances are configured with an IAM role that allows DynamoDB puts. Your server updates DynamoDB.

  • Amazon, Google, Facebookなどの Web アイデンティティプロバイダに JavaScript アプリケーションを登録
  • そのプロバイダの IAM ロールを作成し, DynamoDB へのデータ put を許可する IAM ロールのアクセス許可を設定する
  • ELB と AutoScaling を利用しした EC2 インスタンスからモバイルアプリケーションを提供する
  • EC2 インスタンスは, DynamoDB の put を許可する IAM ロールが構成されている

解答

  • 多分, B かな〜

なぜ, その答えなん?

  • 費用対効果が高い = コストを抑える, スケーラブルということを考えると EC2 を使うよりも S3 を使った方が良いと考える
  • Web アイデンティティプロバイダでアプリケーションを認証しておいて, 一時的に付与されるアクセス許可を以て AWS リソースにアクセスさせる

Web アイデンティティプロバイダについて

2018 年 09 月 15 日 (土)

ジョギング

  • 移動の為, おやすみ

日課

  • 移動の為, おやすみ

古稀祝い

SEGODON.

両親の古稀祝いを霧島ホテルで. お酒も進んで本当に良い夜だった.

いつまでも元気でいて欲しい. ホントにそれだけ.

yum パッケージの changelog を確認する yum-plugin-changelog が便利だった

tl;dr

CentOSAmazon Linux のパッケージ管理ツールとして空気のように当たり前にそこにある yum コマンドにプラグインが存在していること自体は存じ上げておりましたが, yum-plugin-changelog というプラグインが便利だったのでメモしておきます.

尚, 各コマンドの動作確認は以下の環境にて行っております.

$ cat /etc/system-release
Amazon Linux AMI release 2017.09

$ uname -rs
Linux 4.9.76-3.78.amzn1.x86_64

changelog を確認する方法

rpm コマンドを使う

rpm コマンドのコマンドラインオプションに --changelog というオプションがあるので, これを利用することも出来ます.

$ rpm -q --changelog kernel | less

* 金  112 2018 Builder <builder@amazon.com>
- builder/905972272a3121bab2721a139aa8144c53f456d9 last changes:

- linux/3b609073ee74e0c7b1fc2e34aa23ff30eddb536c last changes:
  + [3b609073ee74] [2018-01-04] x86/alternatives: Add missing '\n' at end of ALTERNATIVE inline asm (dwmw@amazon.co.uk)
  + [1fa9a88139bc] [2017-09-17] x86/mm/32: Move setup_clear_cpu_cap(X86_FEATURE_PCID) earlier (luto@kernel.org)
...

これからインストールしようとするパッケージの changelog を確認したい場合には, 以下のように実行することで確認可能です.

$ rpm -qp --changelog https://rpmfind.net/linux/fedora/linux/updates/testing/28/Everything/x86_64/Packages/k/kernel-4.18.7-200.fc28.x86_64.rpm | less

* 月  910 2018 Laura Abbott <labbott@redhat.com> - 4.18.7-200
- Linux v4.18.7

* 日  909 2018 Laura Abbott <labbott@redhat.com> - 4.18.6-200
- Linux v4.18.6

* 金  824 2018 Laura Abbott <labbott@redhat.com> - 4.18.5-200
- Linux v4.18.5

* 金  824 2018 Justin M. Forbes <jforbes@fedoraproject.org> - 4.17.19-200
- Linux v4.17.19

* 水  822 2018 Justin M. Forbes <jforbes@fedoraproject.org> - 4.17.18-200
- Linux v4.17.18

* 月  820 2018 Justin M. Forbes <jforbes@fedoraproject.org> - 4.17.17-200
- Linux v4.17.17
- Fix CVE-2018-15471 (rhbz 1610555 1618414)

* 水  815 2018 Justin M. Forbes <jforbes@fedoraproject.org> - 4.17.14-202
- Include missing Forshadow patches

* 火  814 2018 Justin M. Forbes <jforbes@fedoraproject.org> - 4.17.14-201
- Fix "Foreshadow" CVE-2018-3620 CVE-2018-3646 (rhbz 1585005 1615998)

* 木  809 2018 Justin M. Forbes <jforbes@redhat.com> - 4.17.14-200
- Linux v4.17.14

* 水  808 2018 Justin M. Forbes <jforbes@redhat.com> - 4.17.13-200
- Linux v4.17.13
...

予めインストールするパッケージの URL が把握出来ていれば, このように rpm コマンド --changelog オプションを使って, 事前にどのような変更が加わっているかを確認することが出来ます.

yum-plugin-changelog を使う

yum-plugin-changelogyumupdate コマンドで利用することで, アップデートするパッケージの changelog を確認することが出来る為, アップデートすることにって, どのような変更が加わるのか, どのような脆弱性に対処されているのかを事前に確認することが出来るようになります.

事前に yum-plugin-changelog プラグインをインストールした上で利用します.

sudo yum install yum-plugin-changelog

以下のように実行します.

echo 'N' | sudo yum update --changelog kernel | less

echo 'N' としているのは, yum update を実行している為, changelog を出力した後に Is this ok [y/d/N]: というプロンプトが出てしまうので, 一旦, N でアップデートされることを回避する為の苦肉の策です. (ここで y を入力すると, そのままパッケージのアップデート処理が実行されます)

先のコマンドの実行結果は以下のように出力されます.

...
読み込んだプラグイン:changelog, priorities, update-motd, upgrade-helper
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ kernel.x86_64 0:4.14.67-66.56.amzn1 を インストール
--> 依存性解決を終了しました。

Changes in packages about to be updated:


===============================================================================
  Amazon Linux AMI 2014.03 - ALAS-2018-1058: critical priority package update for kernel
===============================================================================
  Update ID : ALAS-2018-1058
    Release :
       Type : security
     Status : final
     Issued : 2018-08-10 20:26
    Updated : 2018-08-14 17:53       CVEs : CVE-2018-3615
            : CVE-2018-5391
            : CVE-2018-3620
            : CVE-2018-3646
Description : Package updates are available for Amazon Linux AMI that fix the
            : following vulnerabilities: CVE-2018-5391:
            :
            :
            : CVE-2018-3646:
            :
            :
            : CVE-2018-3620:
            :
            :
            : CVE-2018-3615:
   Severity : critical
...

これは Kernel をアップデートすることで CVE-2018-5391 等のIntel 製 CPU の投機的実行機能に対するサイドチャネル攻撃 (L1TF, L1 Terminal Fault)脆弱性に対応されることがひと目で判ります.

以上

メモでした. 今後, yum-plugin-changelog プラグインは予めインストールしておきたいと思います.