安装 Livepatch 后你最终是否应该重新启动?

安装 Livepatch 后你最终是否应该重新启动?

假设有一个实时补丁出现,我当前正在运行的内核得到修补,而我不需要重启服务器,因为我不再需要了。如果几周/几个月/无论何时其他livepatch 已经安装,几周后又安装一个,等等?这种情况是否可以持续,无需重启曾经

我能看到的唯一方法是,如果每个实时补丁都会对正在运行的内核进行修补,使其与正常获取最新内核并重新启动时的情况完全一样apt dist-upgrade,但我的印象是实时补丁只修复了高危和关键安全问题,而其他一切都未受影响。

或者,他们只是针对旧基础内核的变体 + 不同数量的之前针对它们制作的实时补丁来测试每个实时补丁?如果是这样的话,我猜他们测试的时间是有限制的,而且最终您应该重新启动以确保您的基本内核是经过 livepatch 测试的内核吗?

答案1

有时,会出现高/严重的安全漏洞问题,无法进行实时修补,您需要执行正常操作apt dist-upgrade并重新启动。

浏览档案ubuntu-security-announce 邮件列表,看起来所有内核都提供了实时补丁,可以追溯到上次需要进行正常更新+重启的时候,有一次甚至可以追溯到一年半之前发布的内核!

可以肯定他们会继续这样做,并且无论如何,在上述邮件列表上的任何 Livepatch 安全公告 (LSN) 的底部都会有一个可以接收 livepatch 的内核列表,因此如果你确实运行了一个足够旧的内核而不能包含在内,那么你就可以知道在这种情况下只需进行正常更新 + 重启。

(谢谢来自此主题的 deadflowr了解这方面的大部分信息)!

相关内容