Ich wurde gebeten, meine Frage zu aktualisieren:
Ich bin neu bei Linux Ubuntu und alles, was ich bisher getan habe, beruht auf der Suche im Internet. Ich wurde jedoch beauftragt, den Kernel auf 10 unserer Ubuntu-Server zu aktualisieren. Gibt es ein allgemeines Skript, mit dem ich das tun kann?
Wir verwenden eine Anwendung zum Scannen von Schwachstellen. Das Produkt hat viele kritische Kernel-Schwachstellen aufgedeckt. Die meisten unserer Server sind Ubuntu 20.04.6. Die meisten unserer Server laufen mit Linux-Kernel 5.15.0-1083-aws
Antwort1
"Wir verwenden eine Anwendung zum Scannen von Schwachstellen„Solche Scanner sind für ihre vielen Fehlalarme berüchtigt und führen zu vielen Fragen dieser Art.
- Profi-Tipp: Schwachstellen werden nicht verfolgt vonSoftwareversionnoch durchPaketversion. Schwachstellen werden anhand der CVE-Nummer verfolgt.
Bevor wir zu dem Schluss kommen, dass wir „aufrüsten müssen“,Sie müssen die Schlussfolgerungen des Scanners überprüfen.
Die Scannerausgabe sollte eine Liste von CVEs enthalten.
Überprüfen Sie jedes CVE mit demUbuntu CVE Tracker. Dadurch erfahren Sie genau, welche Paketversionen für eine bestimmte CVE anfällig sind und welche nicht.
Dadurch sollte Ihre Liste erheblich gekürzt werden, da Sie alle CVEs eliminieren, die bereits automatisch gemindert wurden.
- Profi-Tipp: Es gibtzweiMöglichkeiten für Benutzer, ein CVE zu mildern: Patchen und Aktualisieren. Ubuntu verwendet im AllgemeinenPatchen. Debian verwendet Patching seit über 25 Jahren. Es ist eine weithin akzeptierte, überprüfbare Methode zur Eindämmung eines CVE. Upstreams sprechen normalerweise vonUpgrade durchführenEinfach, weil viele Benutzer nicht wissen, wie man patcht. Aber wir wissen es.
Lesen Sie als Nächstes die Beschreibung jedes verbleibenden (nicht abgemilderten) CVE. Sehen Sie sich den Schweregrad an. Sehen Sie sich die Auswirkungen an (Absturz, Datenverlust, Codeausführung, Umgehung von Berechtigungen usw.). Sehen Sie sich an, was erforderlich ist, um den Exploit tatsächlich auszulösen. Und fragen Sie sich, ob dies etwas ist, das Sie wirklich abmildern müssen, oder ob Ihre vorhandenen Prozesse und Schutzmaßnahmen ausreichen.
Überprüfen Sie auch, ob auf Ihren Systemen der neueste aktualisierte Kernel von Ubuntu läuft. Ab heute sollten die 20.04-Systeme auf AWS 5.15.0.1038.43~20.04.27(ubuntu-security) oder 5.15.0.1039.44~20.04.28(ubuntu-updates) verwenden. Holen Sie sich diese Informationen von Ihrem Paketmanager ... und überprüfen Sie Ihre Arbeit auf Tippfehler ( 5.15.0-1083-awsist noch kein echter Kernel).
Wenn Ihr Kernel tatsächlich der neueste für Ubuntu ist und Ihr Unternehmen den Kernel WIRKLICH noch „aktualisieren“ möchte, bedeutet das, dass Sie Ersatzmaschinen mit einer neueren Version von Ubuntu (z. B. 22.04) hochfahren und alle Ihre Anwendungen und Daten migrieren müssen. Große Arbeit und oft unnötig.
Wenn Ihre Organisation auf (törichterweise) blindem Vertrauen in die Scan-Ergebnisse besteht und einen neueren Kernel verlangt, während noch 20.04 läuft, bieten wir dafür keinen Support. Sie müssen jemanden für diese individuelle Arbeit und den laufenden Support bezahlen.
Antwort2
Die folgenden Schritte haben bei mir funktioniert:
wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
sudo install ubuntu-mainline-kernel.sh /usr/local/bin/
ubuntu-mainline-kernel.sh -i
Geben Sie dannY
uname -rms
Ich habe versucht, nur apt updateoder apt upgradeund sogar zu verwenden apt-get update, aber diese Befehle haben meinen Kernel nie aktualisiert.