Скрипт обновления ядра Ubuntu

Question 1

"Мы используем приложение для сканирования уязвимостей«Такие сканеры печально известны своими многочисленными ложными срабатываниями, что приводит к возникновению множества вопросов, подобных этому.

Совет профессионала: уязвимости не отслеживаютсяВерсия ПОниверсия пакета. Уязвимости отслеживаются по номеру CVE.

Прежде чем делать вывод, что «нам нужно обновление»,вам необходимо проверить выводы сканера.

Результат сканирования должен включать список CVE.
Проверьте каждый CVE с помощьюUbuntu CVE-трекер. Это позволит вам точно узнать, какие версии пакета уязвимы для конкретной CVE, а какие нет.

Это должно значительно сократить ваш список, поскольку вы исключите все CVE, которые уже были автоматически устранены.
- Совет профессионала: естьдваспособы для пользователей смягчить CVE: исправление и обновление. Ubuntu обычно используетисправление. Debian использует исправления уже более 25 лет. Это широко распространенный, проверяемый метод смягчения CVE. Обычно апстримы говорят ообновлениепросто потому что многие пользователи не знают как патчить. Но мы знаем.
Далее прочитайте описание каждой оставшейся (не смягченной) CVE. Посмотрите на серьезность. Посмотрите на эффект (сбой, потеря данных, выполнение кода, обход разрешений и т. д.) Посмотрите, что требуется для фактического запуска эксплойта. И спросите, действительно ли вам нужно смягчить это или достаточно существующих процессов и средств защиты.

Также проверьте, что ваши системы работают под управлением последнего обновленного ядра, предоставленного Ubuntu. На сегодняшний день системы 20.04 на aws должны использовать 5.15.0.1038.43~20.04.27(ubuntu-security) или 5.15.0.1039.44~20.04.28(ubuntu-updates). Получите эту информацию из вашего менеджера пакетов... и проверьте свою работу на опечатки ( 5.15.0-1083-awsэто еще не настоящее ядро).

Если ваше ядро действительно является последним для Ubuntu, и ваша организация ДЕЙСТВИТЕЛЬНО все еще хочет "обновить ядро", это будет означать запуск заменяющих машин с более новой версией Ubuntu (например, 22.04) и миграцию всех ваших приложений и данных. Большая работа, и часто ненужная.

Если ваша организация настаивает на (глупом) слепом доверии к результатам сканирования и требует более нового ядра, продолжая работать с 20.04, мы не предоставляем поддержку для этого. Им нужно будет заплатить кому-то за эту индивидуальную работу и постоянную поддержку.

Answer

"Мы используем приложение для сканирования уязвимостей«Такие сканеры печально известны своими многочисленными ложными срабатываниями, что приводит к возникновению множества вопросов, подобных этому.

Совет профессионала: уязвимости не отслеживаютсяВерсия ПОниверсия пакета. Уязвимости отслеживаются по номеру CVE.

Прежде чем делать вывод, что «нам нужно обновление»,вам необходимо проверить выводы сканера.

Результат сканирования должен включать список CVE.
Проверьте каждый CVE с помощьюUbuntu CVE-трекер. Это позволит вам точно узнать, какие версии пакета уязвимы для конкретной CVE, а какие нет.

Это должно значительно сократить ваш список, поскольку вы исключите все CVE, которые уже были автоматически устранены.
- Совет профессионала: естьдваспособы для пользователей смягчить CVE: исправление и обновление. Ubuntu обычно используетисправление. Debian использует исправления уже более 25 лет. Это широко распространенный, проверяемый метод смягчения CVE. Обычно апстримы говорят ообновлениепросто потому что многие пользователи не знают как патчить. Но мы знаем.
Далее прочитайте описание каждой оставшейся (не смягченной) CVE. Посмотрите на серьезность. Посмотрите на эффект (сбой, потеря данных, выполнение кода, обход разрешений и т. д.) Посмотрите, что требуется для фактического запуска эксплойта. И спросите, действительно ли вам нужно смягчить это или достаточно существующих процессов и средств защиты.

Также проверьте, что ваши системы работают под управлением последнего обновленного ядра, предоставленного Ubuntu. На сегодняшний день системы 20.04 на aws должны использовать 5.15.0.1038.43~20.04.27(ubuntu-security) или 5.15.0.1039.44~20.04.28(ubuntu-updates). Получите эту информацию из вашего менеджера пакетов... и проверьте свою работу на опечатки ( 5.15.0-1083-awsэто еще не настоящее ядро).

Если ваше ядро действительно является последним для Ubuntu, и ваша организация ДЕЙСТВИТЕЛЬНО все еще хочет "обновить ядро", это будет означать запуск заменяющих машин с более новой версией Ubuntu (например, 22.04) и миграцию всех ваших приложений и данных. Большая работа, и часто ненужная.

Если ваша организация настаивает на (глупом) слепом доверии к результатам сканирования и требует более нового ядра, продолжая работать с 20.04, мы не предоставляем поддержку для этого. Им нужно будет заплатить кому-то за эту индивидуальную работу и постоянную поддержку.

Question 2

Мне помогли следующие шаги:

wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
sudo install ubuntu-mainline-kernel.sh /usr/local/bin/
ubuntu-mainline-kernel.sh -i

Затем введитеY

uname -rms

Я пробовал использовать только apt updateor apt upgradeи even apt-get update, но эти команды никогда не обновляли мое ядро.

Answer

Мне помогли следующие шаги:

wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
sudo install ubuntu-mainline-kernel.sh /usr/local/bin/
ubuntu-mainline-kernel.sh -i

Затем введитеY

uname -rms

Я пробовал использовать только apt updateor apt upgradeи even apt-get update, но эти команды никогда не обновляли мое ядро.

Скрипт обновления ядра Ubuntu

решение1

решение2

Связанный контент