我被要求更新我的问题:
我是 Linux Ubuntu 的新手,到目前为止,我所做的一切都是通过网络搜索获得的。但是,我被要求更新 10 台 Ubuntu 服务器的内核,是否有一个通用脚本可以用来完成这项工作?
我们正在使用一款应用程序来扫描漏洞。该产品发现了许多严重的内核漏洞。我们的大多数服务器都是 Ubuntu 20.04.6,我们的大多数服务器都运行 Linux 内核 5.15.0-1083-aws
答案1
“我们正在使用应用程序扫描漏洞“此类扫描仪因其许多误报而臭名昭著,并引发了许多类似的问题。
- 专业提示:漏洞不会被跟踪软件版本也不是软件包版本. 漏洞通过 CVE 编号进行跟踪。
在得出“我们需要升级”的结论之前,你需要验证扫描仪的结论。
扫描仪输出应包括 CVE 列表。
使用以下方法检查每个 CVEUbuntu CVE 跟踪器。这将准确地告诉您哪些软件包版本容易受到特定 CVE 的攻击,哪些不会。
这应该会大大过滤您的列表,因为您会自动消除所有已经缓解的 CVE。
- 专业提示:二用户缓解 CVE 的方法:修补和升级。Ubuntu 通常使用修补。Debian 使用修补程序已有 25 年多的历史。这是一种广泛接受、可审计的缓解 CVE 的方法。上游通常会谈论升级原因很简单,很多用户不知道如何打补丁。但我们知道。
接下来,阅读每个剩余(未缓解)CVE 的描述。查看严重性。查看影响(崩溃、数据丢失、代码执行、权限绕过等)。查看实际触发漏洞所需的条件。并询问这是否是您真正需要缓解的,或者您现有的流程和保护措施是否足够。
还要检查您的系统是否正在运行 Ubuntu 提供的最新更新内核。截至今天,AWS 上的 20.04 系统应该使用5.15.0.1038.43~20.04.27(ubuntu-security) 或5.15.0.1039.44~20.04.28(ubuntu-updates)。从您的包管理器获取该信息...并检查您的工作是否有拼写错误(5.15.0-1083-aws还不是真正的内核)。
如果您的内核确实是 Ubuntu 的最新版本,而您的组织确实仍想“更新内核”,那么这意味着要使用较新版本的 Ubuntu(例如 22.04)启动替换机器并迁移所有应用程序和数据。这是一项艰巨的工作,而且往往没有必要。
如果您的组织坚持(愚蠢地)盲目信任扫描结果,并在运行 20.04 的同时要求更新内核,我们将不提供支持。他们将需要花钱请人进行定制工作和持续支持。
答案2
以下步骤对我有用:
wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
sudo install ubuntu-mainline-kernel.sh /usr/local/bin/
ubuntu-mainline-kernel.sh -i
然后输入Y
uname -rms
我尝试仅使用apt update或apt upgrade和甚至apt-get update,但这些命令永远不会更新我的内核。