我被要求更新我的問題:
我是 Linux Ubuntu 的新手,到目前為止我所做的一切都來自於網路搜尋。但是,我的任務是將核心更新到 10 台 Ubuntu 伺服器,是否有一個通用腳本可以用來執行此操作?
我們正在使用一個應用程式來掃描漏洞。該產品暴露了許多嚴重的核心漏洞。我們的大多數伺服器都是 Ubuntu 20.04.6 我們的大多數伺服器都運行 Linux 核心 5.15.0-1083-aws
答案1
」我們正在使用應用程式來掃描漏洞「此類掃描器因其許多誤報而臭名昭著,並導致許多此類問題。
- 專業提示:漏洞不會被追蹤軟體版本也不由封裝版本。漏洞透過 CVE 編號進行追蹤。
在得出「我們需要升級」的結論之前,您需要驗證掃描器的結論。
掃描器輸出應包含 CVE 清單。
使用以下命令檢查每個 CVEUbuntu CVE 追蹤器。這將準確地告訴您哪些軟體包版本容易受到特定 CVE 的攻擊,哪些則不會。
這應該會大大過濾您的列表,因為您消除了所有已自動緩解的 CVE。
- 專業提示:有二使用者緩解 CVE 的方法:修補和升級。 Ubuntu一般使用修補。 Debian 使用補丁已經超過 25 年了。這是一種被廣泛接受、可審核的緩解 CVE 的方法。上游通常談論升級只是因為許多用戶不知道如何修補。但我們做到了。
接下來,閱讀每個剩餘的(未緩解的)CVE 的描述。看嚴重程度。查看效果(崩潰、資料遺失、程式碼執行、權限繞過等) 查看實際觸發漏洞所需的條件。並詢問您是否確實需要緩解這種情況,或者您現有的流程和保護措施是否足夠。
也請檢查您的系統是否正在運行 Ubuntu 提供的最新更新的核心。截至今天,aws 上的 20.04 系統應該使用5.15.0.1038.43~20.04.27(ubuntu-security) 或5.15.0.1039.44~20.04.28(ubuntu-updates)。從你的套件管理器獲取這些資訊......並檢查你的工作是否有拼字錯誤(5.15.0-1083-aws還不是真正的核心)。
如果您的核心確實是 Ubuntu 的最新版本,而您的組織確實仍然希望“更新核心”,那麼這將意味著使用較新版本的 Ubuntu(例如 22.04)啟動替換機器並遷移所有應用程式和資料。這是一項艱鉅的任務,而且往往是不必要的。
如果您的組織堅持(愚蠢地)盲目信任掃描儀結果,並在運行 20.04 的同時要求更新的內核,我們將不提供支援。他們需要向某人支付客製化工作和持續支援的費用。
答案2
以下步驟對我有用:
wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
sudo install ubuntu-mainline-kernel.sh /usr/local/bin/
ubuntu-mainline-kernel.sh -i
然後輸入Y
uname -rms
我嘗試僅使用apt updateorapt upgrade和 Even apt-get update,但這些命令永遠不會更新我的核心。