一些扫描工具(Qualsys、Sentinel 等)会检测已安装的旧内核,如果这些内核版本存在漏洞,则会将其报告为问题。有没有办法删除它们如果他们有弱点吗?
我认为我理解扫描仪的原理——安装扫描仪会让有权限的人更容易地将服务器启动到旧内核并利用漏洞。虽然我并不认为这是一个极有可能的风险,但我承认我从未回滚过内核版本,保留旧内核安装主要是为了安心,知道这是一个可行的选择(对我来说)。
但考虑到工具选项的存在,如果我可以做一些事情,比如要求 Linux 删除任何已安装并报告有漏洞的内核,yum update --security
那就太好了。package-cleanup --oldkernels --security
我在网上搜索了一下,想看看是否有人有办法做到这一点,但我什么也没看到——默认工具中没有,甚至连手动编写的脚本都没有。所以,出于好奇,有人有解决方案吗?或者你研究过这个问题,觉得不值得这么做?