Допустим, поступает livepatch, и исправляется мое текущее работающее ядро, и я не перезагружаю сервер, потому что он мне больше не нужен. Что произойдет, если появятся недели / месяцы / что бы то ни было еще один livepatch, а через несколько недель - еще один, и т. Д.? Является ли эта ситуация устойчивой без перезагрузки когда-либо ?
Единственный способ, которым я мог убедиться в этом, состоит в том, что каждый livepatch исправляет работающее ядро так, как если бы вы выполнили обычное apt dist-upgrade
, чтобы получить последнее ядро и перезагрузиться, но мое впечатление было то, что livepatching только исправил высокие и критические проблемы безопасности и оставил все остальное нетронутым.
Или же они просто проверяют каждый живой патч на соответствие более ранним базовым ядрам + различное количество предыдущих живых патчей, сделанных для них? Если бы это было так, я бы предположил, что есть предел тому, насколько далеко они будут тестировать, и что в конечном итоге вам следует перезагрузиться, чтобы убедиться, что ваше базовое ядро является тем, на котором был протестирован livepatch?
Время от времени возникает проблема высокой / критической уязвимости безопасности, для которой нельзя сделать livepatch, и вам необходимо выполнить обычную apt dist-upgrade
и перезагрузиться.
Просматривая архивы списка рассылки ubuntu-security-announce , похоже, что для всех ядер предоставляются живые патчи, начиная с того момента, когда вы должны были выполнить обычное обновление перезагрузка, в одном случае возвращаясь к ядрам, выпущенным за полтора года до этого!
Вероятно, это безопасная ставка, что они продолжат делать это, и в любом случае в нижней части любого объявления безопасности Livepatch (LSN) в вышеупомянутом списке рассылки, будет список ядер, которые могут получать livepatch, поэтому, если вы действительно используете ядро, достаточно старое, чтобы его не включать, вы можете просто выполнить обычное обновление + перезагрузка в этом случай.
(спасибо deadflowr из этой темы за большую часть этой информации)!