Мы знаем, что самым эффективным способом укрепления безопасности системы и защиты от любых киберугроз является обновление системы последними исправлениями ОС и прикладного программного обеспечения.
Для Linux обновление ядра и исправления безопасности требуют перезагрузки системы, поэтому трудно поддерживать безопасность ОС.
Здесь мы рассмотрим, как обновлять ядра Linux без перезагрузки.
Существует 3 различных метода, и давайте рассмотрим, что они из себя представляют.
Командная строка
Командная строка является стандартным способом обновления, и если вы используете Ubuntu, вы можете выполнить следующую команду.
Для Debian вы можете использовать:
Для обновления ядра CentOS, а также для Red Hat Enterprise Linux (RHEL) или любого другого дистрибутива на базе RPM, вы можете использовать следующую команду:
После этого вам придется перезагрузиться, иначе патч ядра не будет иметь никакого эффекта до тех пор, пока вы не перезагрузитесь.
На восстановление может потребоваться некоторое время, поэтому убедитесь, что вы уведомили об этом gjkmpjdfntktq заранее.
Именно поэтому системные администраторы откладывают установку патча, избегая простоя, но ставя под угрозу безопасность системы.
kexec: Быстрая перезагрузка
Если вам нужна быстрая перезагрузка, вы можете использовать Kexec.
Это позволит вам загрузиться в новое ядро, пропуская фазы загрузчика и инициализации оборудования, что в конечном итоге может сократить время перезагрузки.
Для того чтобы воспользоваться этой программой, вам необходимо установить kexec-tools.
На Ubuntu/Debian:
CentOS/RHEL:
Теперь установите новое ядро, вы можете выбрать любое из предложенных ниже;
или
Пример вывод:
kernel-3.10.0-514.26.1.el7.x86_64 kernel-3.10.0-862.3.2.el7.x86_64
С выбранной версией теперь перезагрузитесь.
Преимуществом является однократная установка и быстрая перезагрузка, но если вы плохо написали скрипт, могут возникнуть ошибки.
Обновление ядра без перезагрузки
Вы хотите обновить ядро без перезагрузки?
Обновление для безопасности является довольно критичным, поэтому процессы завершаются при перезагрузке.
Если вы используете “всегда включенную” или “высокодоступную” систему, вы, вероятно, знаете об этой проблеме.
Поскольку эта программа применяет только исправления для серьезных ошибок или уязвимостей безопасности, она не может заменить полное обновление ядра.
Однако во многих случаях это необходимо, и с помощью этих методов можно поддерживать безопасность и работоспособность сервера в течение многих лет без необходимости перезагрузки.
Бесперезагрузочные обновления ядра предоставляются рядом поставщиков Linux.
Поэтому выбор следует делать в зависимости от дистрибутива, который вы используете.
Давайте посмотрим несколько подробностей о беззагрузочных обновлениях ядра:
Oracle Ksplice- Это была первая коммерчески доступная реализация обновления ядра без перезагрузки.
После того, как Oracle в конечном итоге приобрела Ksplice Inc., программное обеспечение в настоящее время доступно только через дистрибутивы Oracle Linux и RedHat Enterprise Linux, а для его развертывания требуется лицензия Oracle.
Он автоматически обновит новые ядра и развернет их.
Нет времени простоя или составления расписания, а также не требуется перезагрузка.
KernelCare – служба лайв исправления ядра Linux от TuxCare выделяется среди вариантов исправления ядра благодаря широкому спектру поддерживаемых операционных систем, включая CentOS, RHEL, Oracle Linux, Debian, Ubuntu и другие.
Более ранние ядра 2.6.32 из RHEL 6 также поддерживаются KernelCare, аналогично решению Oracle.
Не требуя перезагрузки сервера, KernelCare автоматически загружает и применяет обновленные исправления безопасности ядра после установки.
Он позволяет устанавливать исправления с фиксированной датой и пользовательские исправления.
Чтобы установить KernelCare:
Canonical Livepatch Service – для живого исправления ядер Canonical использует этот метод.
Несмотря на то, что это может быть сложной и трудоемкой работой, вы можете создавать собственные патчи.
Для Ubuntu 16.04 и новее, а также RHEL 7.x сервис доступен (бета-версия).
Обновить можно только ограниченное количество хостов.
Это реализовано следующим образом:
Red Hat Kpatch – Это инструмент для исправления ядра, созданный компанией Red Hat.
Он был перенесен для работы в системах на базе Fedora, CentOS и Debian, включая Ubuntu и Gentoo.
Развертывание на RHEL 7:
Она не является автоматической, в отличие от службы Livepatch в Ubuntu или Ksplice от Oracle, и вы должны вручную проверить и установить каждое доступное ядро.
Перезагрузка не требуется, но дистрибутивы ограничены.
SUSE Kgraft – Kgraft – это лайв исправление от SUSE, которое доступно только для собственного Linux Enterprise Server 12 и является предустановленным.
Он работает по другому принципу, чем другие подходы, но имеет набор функций, сравнимый с Kpatch.
Не требует установки и перезагрузки.
Поддерживает только одну платформу.
Заключение
Обновление ядра происходит относительно безболезненно, если вы используете стандартные инструменты командной строки.
см. также:
- ✔️ Контрольный список повышения безопасности Linux ( чек-лист )
- 💻 Как установить инструменты безопасности с помощью Homebrew на Mac
- 🐳 Как защитить Docker в производственной среде?
- 🛡️ Полное руководство по безопасности веб-серверов
- 🐳 Обновление патчей безопасности в контейнерах Docker
- ⚒️ Список инструментов безопасности и анализа угроз для хакеров и специалистов по безопасности
