内核漏洞更新及服务器重启

tag-icon tag-icon kernel vulnerability
内核漏洞更新及服务器重启

今天发布了一些内核高优先级漏洞:https://ubuntu.com/security/notices/USN-5317-1

由于我管理着多台 Ubuntu 服务器,因此我检查了其中几台,但不确定我的服务器是否受到保护。所有服务器都运行 Ubuntu 20.04,并且已正确设置无人值守升级包。

我注意到 unattended-upgrades 已在多台服务器上安装了最新的内核版本 5.4.0-104(但不是所有服务器)...(?)

这是否意味着服务器受到保护?或者我是否必须重新启动它们才能加载新内核?

答案1

通常您必须重新启动才能加载新内核并提供保护。

但是,还有一些其他选项可以在不重启的情况下提供保护(称为实时修补)。

一种选择是实时补丁由 Canonical 开发,需要snap运行(参见这个问题)。此选项将仅提供最关键的内核更新作为实时补丁。

另一个选择是内核维护由 CloudLinux 提供。我的印象是 KernelCare 提供了更完整的实时修补服务。此外,它还提供关键库的实时修补,例如libc6openssl

相关内容