Уезжайте старые установленные ядра могли быть опасными?
Я использовал человечность в течение почти 2 лет теперь, и я всегда встречаюсь с руководствами в Интернете о том, как удалить старые версии ядра. Даже здесь в Спрашивают Ubuntu таким образом существует много вопросов.
Мой вопрос: я должен сделать так? Есть ли проблемы, или могло быть опасно оставить эти старые версии установленными? Есть ли какие-либо преимущества?
Править:
Всего две точки для разъяснения вопроса:
- Я не спрашиваю инструкции относительно того, как удалить старые ядра.
- Я не волнуюсь с безопасностью в, удаляют старые ядра. Вместо этого я волнуюсь по поводу безопасности отъезда их установленный.
7 ответов
Вы не должны оставлять старые ядра, и Вы не должны удалять их.
Старые ядра просто занимают место Вашего жесткого диска.Вот именно. У Вас могут быть одно или два старых ядра, установленные на всякий случай, Вы хотите загрузиться с одним из них.
Старые ядра не влияют на рабочую систему всегда.
Так это - 100%-й СЕЙФ для отъезда, старые ядра установили , если это было вопросом. Они не будут использоваться, если Вы сознательно не загрузитесь с одним из них.
Единственной проблемой, которую Вы получаете путем хранения всех старых ядер, является пространство. Каждое изображение ядра наряду с заголовками берет приблизительно 300 МБ.
В конечном счете это может заполнить раздел и сделать обновления системы защиты невозможными.
Вы всегда хотите сохранить по крайней мере одно более старое ядро, чтобы иметь нейтрализацию на всякий случай.
Если Вам настраивали нормальный Ubuntu, и если Вы регулярно работаете sudo apt-get autoremove, apt-get предлагает удаление более старых ядер. Все, что необходимо сделать, должно ответить "Да"! Сценарий, который ответственен за удаление более старых ядер всегда, гарантирует, чтобы Вы имели по крайней мере один ядро нейтрализации, доступное в случае, если новейший не подходит для Вас.
сценарий, который я упомянул выше, должен быть найден здесь: /etc/kernel/postinst.d/apt-auto-removal. Заключить в кавычки оттуда:
# Author: Steve Langasek # # Mark as not-for-autoremoval those kernel packages that are: # - the currently booted version # - the kernel version we've been called for # - the latest kernel version (determined using rules copied from the grub # package for deciding which kernel to boot) # - the second-latest kernel version, if the booted kernel version is # already the latest and this script is called for that same version, # to ensure a fallback remains available in the event the newly-installed # kernel at this ABI fails to boot # In the common case, this results in exactly two kernels saved, but it can # result in three kernels being saved. It's better to err on the side of # saving too many kernels than saving too few.
Это возможно , хотя не очень вероятный , что отъезд старых установленных ядер является угрозой безопасности.
Новые версии ядра обычно исправляют проблемы безопасности. Когда Вы загружаетесь в новое ядро, Вы должны быть защищены от этих проблем безопасности.
Вот сценарий, в котором это было бы возможно для использования этого:
- Взломщик может удалить ядра из Вашего раздела начальной загрузки.
- Взломщик удаляет более новые версии ядра, вынуждая пользователя загрузить более старое, неисправленное ядро.
- Взломщик заставляет пользователя загружать более старое ядро.
- Когда-то загруженный, взломщик использует уязвимость для получения доступа к машине.
Это возможно , хотя не очень вероятный : обычно, если у взломщика есть доступ к Вашей машине, Вы собираетесь иметь плохой день. Он мог почти как легко поставить под угрозу Ваш initramfs, даже с полным шифрованием диска, включенным, и установить клавиатурный перехватчик или хуже.
Я не вижу опасности вообще в отъезде старых ядер на месте - просто сказавший, что Вы заботитесь для достаточного количества пространства при начальной загрузке/, также для будущих потребностей.
, Но у меня есть особая причина хранение всегда одно старое ядро , то, которое больше не получает патчи: часто это происходит со мной, что новейшее активное ядро исправляется, и затем эти сбои для запуска важного сервиса - это часто - поддержка беспроводных сетей. Затем я перезагружаю от своего старого запасного ядра и затем переустанавливаю провальное более новое ядро, и все работает снова.
закаленное ядро приносит только крайнюю опасность: Я использую его только для коротких восстановлений!
Да, это могло быть - если консоль доступна, и меню личинки позволяет выбирать который ядро загрузиться (не редактирование опций, просто выбрав который). Если это верно, непривилегированный пользователь мог бы выбрать старое ядро (или путем перезагрузки машины, если им позволяют сделать так, отключая и перезапуская, или оказываясь быть в консоли, когда это загружается), и продолжите использовать локальную корневую ошибку эскалации, это исправляется в новом ядре (случайный пример: CVE-2012-0056).
, Когда новые ядра, содержащие обновления системы защиты, установлены, необходимо или удалить старые или удостовериться, что они не могут быть выбраны для начальной загрузки злонамеренным пользователем.
Наличие, по крайней мере, предыдущего Ядра может быть положительным в случае плохих конфигураций или странных катастрофических отказов. Которые происходят в Linux и так как ОС не является OEM затем нет никакой системы восстановления, если Вы не делаете его заранее. На той же странице катастрофический отказ или плохая конфигурация могут быть настолько плохими, что это не может быть зафиксировано путем отступания.
можно посетить при использовании снимков BTRFS AskUbuntu