質問を更新するように求められました:
私は Linux Ubuntu の初心者で、これまでやってきたことはすべて Web で検索することです。しかし、Ubuntu サーバー 10 台のカーネルを更新するように指示されたのですが、そのために使用できる共通スクリプトはありますか?
私たちは脆弱性をスキャンするアプリケーションを使用しています。この製品により、重大なカーネル脆弱性が多数発見されました。私たちのサーバーのほとんどはUbuntu 20.04.6です。私たちのサーバーのほとんどはLinuxカーネル5.15.0-1083-awsを実行しています。
答え1
「脆弱性をスキャンするアプリケーションを使用しています「このようなスキャナーは誤検知が多いことで有名で、このような疑問を多く生じさせます。
- プロのヒント: 脆弱性は追跡されませんソフトウェアバージョンまた、パッケージバージョン脆弱性は CVE 番号によって追跡されます。
「アップグレードする必要がある」という結論に飛びつく前に、スキャナーの結論を検証する必要がある。
スキャナーの出力には CVE のリストが含まれている必要があります。
各CVEを以下でチェックしてください。Ubuntu CVE トラッカーこれにより、特定の CVE に対して脆弱なパッケージ バージョンとそうでないパッケージ バージョンが正確にわかります。
これにより、すでに自動的に軽減されたすべての CVE が排除されるため、リストが大幅に絞り込まれるはずです。
- プロのヒント:二ユーザーがCVEを緩和する方法:パッチとアップグレード。Ubuntuは通常、パッチDebianは25年以上パッチを使用しています。これはCVEを軽減するための広く受け入れられた監査可能な方法です。アップストリームでは通常、アップグレード多くのユーザーがパッチの適用方法を知らないからです。しかし、私たちは知っています。
次に、残っている(軽減されていない)各 CVE の説明を読んでください。重大度を確認します。影響を確認します(クラッシュ、データ損失、コード実行、権限バイパスなど)。実際にエクスプロイトをトリガーするために必要なものを確認します。そして、これが本当に軽減する必要があるものなのか、または既存のプロセスと保護で十分かどうかを尋ねます。
また、システムで Ubuntu が提供する最新のカーネルが実行されているかどうかも確認してください。現在、aws の 20.04 システムでは5.15.0.1038.43~20.04.27(ubuntu-security) または5.15.0.1039.44~20.04.28(ubuntu-updates) が使用されているはずです。パッケージ マネージャーからその情報を入手し、作業にタイプミスがないか確認してください (5.15.0-1083-awsはまだ実際のカーネルではありません)。
カーネルが実際に Ubuntu の最新版であり、組織が本当に「カーネルを更新」したい場合、それは、新しいリリースの Ubuntu (22.04 など) で交換用マシンを起動し、すべてのアプリケーションとデータを移行することを意味します。これは大仕事であり、多くの場合は不要です。
組織がスキャナーの結果を(愚かにも)盲目的に信頼し、20.04 を実行しながら新しいカーネルを要求する場合、当社はそれに対するサポートを提供しません。そのカスタム作業と継続的なサポートに対して、誰かに料金を支払う必要があります。
答え2
私の場合は次の手順が効果的でした:
wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
sudo install ubuntu-mainline-kernel.sh /usr/local/bin/
ubuntu-mainline-kernel.sh -i
次に入力してくださいY
uname -rms
apt updateまたはapt upgradeと evenだけを使用してみましたapt-get updateが、これらのコマンドではカーネルが更新されませんでした。