我有一个 CentOS SFTP 服务器,这对我公司的运营至关重要。目前,该服务器运行的 Linux 内核版本已发现漏洞:
Linux 3.10.0-1160.6.1.el7.x86_64 x86_64
我正在尝试使用 YUM 更新 CentOS,但它没有提到系统上缺少任何更新。经过研究,很多文章都指出了添加 ElRepo 存储库以进行内核更新的想法。
但我想知道为什么这是必要的?我知道这是一个备受推崇的存储库等等,但如果可能的话,我真的宁愿只使用 CentOS 存储库。
CentOS 不应该在自己的存储库中进行内核更新吗?
因此,客观地回答我的问题:如何以 100% 官方方式更新我的 CentOS 内核以消除此漏洞?https://lists.centos.org/pipermail/centos-cr-announce/2020-October/012745.html
答案1
显然,CentOS 维护者需要一些时间来获取 RedHat 源代码并为 CentOS 构建它们。
今天,我收到了内核更新 3.10.0-1160.11.1.el7 可用的通知。所以,我想你可以安装它。也许更新需要一些时间才能到达您附近的服务器,您必须再等待一天。
这里下图显示了 CentOS 发布修复程序需要多长时间。更改了对 CentOS 的支持我建议您开始寻找替代方案。对于 CentOS 7,您将在 2024 年之前收到安全更新,但对于 CentOS 8,您只能在 2021 年底之前收到安全更新。
答案2
社区企业 Linux 存储库 (ELRepo) 专注于 kmod 驱动程序包,以增强 EL6、EL7 和 EL8 中的硬件支持(包括显示、文件系统、hwmon、网络和存储驱动程序)。还可以使用较新的内核。按照ELRepo主页安装elrepo-release包并导入GPG密钥。
如果您没有专门使用内核修改/更新(例如来自 ELREPO),那么很快就很难从商业/法律意义上证明为什么要使用它,更不用说它可能没有解决实际的漏洞。为了https://access.redhat.com/errata/RHSA-2020:4060如果 ELREPO 的更新中没有解决这个问题(他们关注的是增强的硬件支持)或任何其他人,那么他们的更新对您没有任何好处;不要仅仅因为它是“更新”就从第三方获取更新,除非它确实解决了当前的问题。你必须调查一下。
因此,客观地回答我的问题:如何以 100% 官方方式更新我的 CentOS 内核以消除此漏洞? Vanilla CentOS:我们需要 ElRepo 存储库吗?我有一个 CentOS SFTP 服务器,这对我公司的运营至关重要。
- 有仅有的您系统上活动的官方 CentOS 存储库 [repositories]。
- 启用 GPG 以
/etc/yum.conf利用该保护机制。 - 仅有的从官方 centos 存储库获取内核更新,该存储库是在安装 CentOS linux 时创建的[并自动激活免费发行版]。
这当然取决于你真正的意思香草但不,如果这是服务器的唯一功能,您就不需要 ELREPO 甚至 EPEL 来实现 SFTP。拥有对我公司的运营至关重要那么在我看来,你应该只使用官方的 centos repo,甚至不应该使用 epel 或 elrepo,除非它们解决了一些特定的业务/安全问题。已经说过了什么:CentOS 维护者需要一些时间来获取 RedHat 源代码并为 CentOS 构建它们是真的。 CentOS 方面的内核更新(尤其是从 RHEL/CentOS 7.8 到 7.9)需要时间。 CentOS 源自 RHEL,RHEL 总是会先发布一些东西,然后 CentOS 人员才可以拿到它并实现它,但会有延迟。这就是使用免费发行版的代价。如果情况那么严重的话,要么拔掉你的 CentOS 服务器并等待更新出来官方的方式。如果这种延迟是不可接受的,那么您的公司应该使用付费的 RHEL 订阅,而不是免费的 CentOS。
经过研究,很多文章都指出了添加 ElRepo 存储库以进行内核更新的想法。但我想知道为什么这是必要的?
centos repo 链接底部如下:不该做什么的示例,请不要遵循此类示例。在添加(并可能破坏)系统之前,请用批判的眼光和一些思考来了解所提议的内容。 我的说法有点断章取义,因为 ELREPO 是一个很好的第三方存储库,它有自己的位置,但这就是它的原则。