Quanto è brutto * non * riavviare un server dopo gli aggiornamenti del kernel?

2

Sto amministrando alcuni server Debian Linux e installo gli aggiornamenti dei pacchetti quando apticron me li notifica. Occasionalmente vedo aggiornamenti su pacchetti linux-image-[something] , ma non mi preoccupo di riavviare il server. Quanto è grave in termini di vulnerabilità?

    
posta Simon Sapin 12.05.2014 - 23:09
fonte

3 risposte

11

Non esegui il nuovo kernel fino al tuo riavvio, quindi in termini di sicurezza la vulnerabilità che applicheresti aggiornando il kernel non verrà corretta fino al successivo riavvio .

Linux 4.0 ha supporto per patching senza riavvio. È ancora nelle primissime fasi e gli strumenti userspace (systemd, ecc.) Non lo supportano ancora ma il codice è presente e speriamo che presto sarà ampiamente supportato.

Un'altra soluzione sarebbe usare qualcosa come Uptrack che può aggiornare alcune parti del kernel senza riavviare , ma questo richiede un abbonamento ed è disponibile solo per alcune distrubuzioni.

    
risposta data 12.05.2014 - 23:18
fonte
1

Finché non si sta riavviando, il sistema continua a funzionare con il vecchio kernel. Ciò significa che è vulnerabile a tutte le vulnerabilità incluse nell'aggiornamento.

Quando viene rilasciato un aggiornamento per un pacchetto, significa che ora sono note tutte le vulnerabilità risolte da quell'aggiornamento (quando il progetto è in stile bazaar, è probabile che siano già note da un po 'di tempo mentre la correzione passa attraverso bugtracking e QA) . Ciò significa che qualsiasi autore di malware in qualsiasi parte del mondo ha l'opportunità di creare exploit e usarli. Se dovessero finire il loro lavoro prima di applicare la patch tramite il riavvio, saranno in grado di colpirvi. Per rendere questa finestra temporale il più piccola possibile, dovresti riavviare presto.

    
risposta data 14.05.2014 - 16:27
fonte
0

A meno che tu non stia cambiando hot kernel, non stai utilizzando la versione più recente del kernel.

    
risposta data 14.05.2014 - 15:19
fonte

Leggi altre domande sui tag