내 질문을 업데이트하라는 요청을 받았습니다.
나는 Linux Ubuntu를 처음 접했고 지금까지 내가 한 모든 일은 웹 검색을 통해 이루어졌습니다. 하지만 저는 커널을 10개의 Ubuntu 서버로 업데이트하라는 임무를 받았습니다. 이를 수행하는 데 사용할 수 있는 공통 스크립트가 있습니까?
우리는 취약점을 스캔하기 위해 애플리케이션을 사용하고 있습니다. 이 제품은 심각한 커널 취약점을 많이 드러냈습니다. 대부분의 서버는 Ubuntu 20.04.6입니다. 대부분의 서버는 Linux 커널 5.15.0-1083-aws를 실행하고 있습니다.
답변1
"우리는 취약점을 스캔하기 위해 애플리케이션을 사용하고 있습니다." 이러한 스캐너는 오탐(false positive)이 많은 것으로 악명 높으며 이와 같은 많은 질문을 야기합니다.
- 전문가 팁: 취약점은 추적되지 않습니다.소프트웨어 버전또는패키지 버전. 취약점은 CVE 번호로 추적됩니다.
"업그레이드가 필요하다"는 결론을 내리기 전에,스캐너의 결론을 확인해야 합니다.
스캐너 출력에는 CVE 목록이 포함되어야 합니다.
다음을 사용하여 각 CVE를 확인하세요.우분투 CVE 추적기. 이를 통해 특정 CVE에 취약한 패키지 버전과 취약하지 않은 패키지 버전을 정확하게 알 수 있습니다.
이미 자동으로 완화된 모든 CVE를 제거하므로 목록이 상당히 필터링됩니다.
- 전문가 팁:둘사용자가 CVE를 완화하는 방법: 패치 적용 및 업그레이드. 우분투는 일반적으로 사용패치. 데비안은 25년 넘게 패치를 사용해왔습니다. 이는 CVE를 완화하기 위해 널리 수용되고 감사 가능한 방법입니다. 업스트림에서는 일반적으로 다음과 같이 이야기합니다.업그레이드많은 사용자가 패치 방법을 모르기 때문입니다. 하지만 우리는 그렇습니다.
그런 다음 나머지(완화되지 않은) CVE에 대한 설명을 읽어보세요. 심각성을 보세요. 효과(충돌, 데이터 손실, 코드 실행, 권한 우회 등)를 살펴보세요. 실제로 익스플로잇을 실행하는 데 필요한 것이 무엇인지 살펴보세요. 그리고 이것이 실제로 완화해야 할 문제인지, 아니면 기존 프로세스와 보호 기능으로 충분한지 물어보세요.
또한 시스템이 Ubuntu에서 제공하는 최신 업데이트 커널을 실행하고 있는지 확인하십시오. 현재, aws의 20.04 시스템은 5.15.0.1038.43~20.04.27(ubuntu-security) 또는 5.15.0.1039.44~20.04.28(ubuntu-updates)를 사용해야 합니다. 패키지 관리자로부터 해당 정보를 얻고 작업 내용에 오타가 있는지 확인하십시오( 5.15.0-1083-aws아직 실제 커널이 아닙니다).
커널이 실제로 Ubuntu용 최신 버전이고 조직에서 여전히 "커널 업데이트"를 원하는 경우 이는 최신 Ubuntu 릴리스(예: 22.04)로 교체 시스템을 가동하고 모든 애플리케이션과 데이터를 마이그레이션하는 것을 의미합니다. 큰 일이고 종종 불필요합니다.
귀하의 조직이 스캐너 결과에 대한 (어리석은) 맹목적인 신뢰를 고집하고 20.04를 계속 실행하는 동안 최신 커널을 요구하는 경우 우리는 이에 대한 지원을 제공하지 않습니다. 맞춤형 작업과 지속적인 지원에 대해 누군가에게 비용을 지불해야 합니다.
답변2
다음 단계가 나에게 효과적이었습니다.
wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
sudo install ubuntu-mainline-kernel.sh /usr/local/bin/
ubuntu-mainline-kernel.sh -i
그런 다음 입력Y
uname -rms
apt updateor apt upgrade및 even 만 사용해 보았지만 apt-get update해당 명령은 내 커널을 업데이트하지 않았습니다.