Оставить старые установленные ядра могут быть опасными?

Question 1

У меня недостаточно репутации, чтобы ответить на комментарий Розамунды Розамунды, поэтому я просто отвечу здесь.

Вместо использования sudo nano gedit используйте sudo gedit [path].

дает вам root priviliges

gedit означает, что вы хотите запустить программу gedit.

, а затем путь. Пример:

sudo gedit /usr/share/app-install/desktop/applications.menu

Просто общий совет Linux: вы запускаете программу каждый раз, когда вводите слово в терминал.

[program name] [arguments for the program]

, поэтому следующая строка означает запуск program gedit и аргумент / usr / share / ....... сообщает gedit, что он должен открыть этот файл.

gedit /usr/share/app-install/desktop/applications.menu

при установке sudo infront команды сообщает linux, что команда должна запускаться с корневыми привилегиями.

sudo gedit /usr/share/app-install/desktop/applications.menu

Question 2

Единственная проблема, которую вы получаете, сохраняя все старые ядра, - это пространство. Каждое изображение ядра вместе с заголовками занимает около 300 МБ.

В конечном итоге это может заполнить раздел и сделать невозможным обновление безопасности.

Вы всегда хотите, чтобы хотя бы одно старшее ядро имело резервную копию на всякий случай.

Question 3

Question 4

Если у вас установлен обычный Ubuntu, и если вы регулярно запускаете sudo apt-get autoremove, apt-get предлагает удалить старые ядра. Все, что вам нужно сделать, это ответить «Да»! Скрипт, который отвечает за удаление старых ядер, всегда гарантирует, что у вас есть хотя бы одно резервное ядро, доступное в случае, если новейший вам не подходит.

Сценарий, о котором я упоминал выше, можно найти здесь : /etc/kernel/postinst.d/apt-auto-removal. Процитировать:

# Author: Steve Langasek # # Mark as not-for-autoremoval those kernel packages that are: # - the currently booted version # - the kernel version we've been called for # - the latest kernel version (determined using rules copied from the grub # package for deciding which kernel to boot) # - the second-latest kernel version, if the booted kernel version is # already the latest and this script is called for that same version, # to ensure a fallback remains available in the event the newly-installed # kernel at this ABI fails to boot # In the common case, this results in exactly two kernels saved, but it can # result in three kernels being saved. It's better to err on the side of # saving too many kernels than saving too few.

Question 5

Возможно, хотя и не очень правдоподобно, что установка старых ядер является угрозой безопасности.

Новые версии ядра обычно исправляют проблемы безопасности. Когда вы загружаетесь в новое ядро, вы должны быть защищены от этих проблем безопасности.

Вот сценарий, в котором было бы возможно использовать это:

] Атакующий может удалить ядра из загрузочного раздела. Атакующий удаляет более новые версии ядра, заставляя пользователя загружать старое, незапакованное ядро. Атакующий получает пользователя для загрузки старого ядра. После загрузки злоумышленник использует эту уязвимость для доступа к машине.

Это возможно, хотя и не очень правдоподобно : обычно, если злоумышленник имеет доступ к вашей машине, у вас будет плохой день. Он мог почти легко скомпрометировать ваши initramfs, даже с включенным полным шифрованием диска, и установить кейлоггер или хуже.

Question 6

Да, это может быть - если консоль доступна, а меню grub позволяет выбрать, какое ядро загружаться (не редактируя параметры, просто выбирая). Если это правда, непривилегированный пользователь может выбрать старое ядро (либо перезагрузив компьютер, если им разрешено это сделать, вытащив вилку и перезагрузив, либо, случается, на консоль при ее загрузке), и приступим к использованию локального Корневая эскалация, исправленная в новом ядре (случайный пример: CVE-2012-0056).

Когда устанавливаются новые ядра, содержащие обновления безопасности, вы должны либо удалить старые, либо убедиться, что они не могут быть выбраны для загрузка злоумышленником.

Question 7

Question 8

Я не вижу никакой опасности оставлять старые ядра на месте - просто сказал, что вы заботитесь о достаточном пространстве под / boot, а также для будущих потребностей. Но у меня есть особая причина хранить всегда одно старое ядро, которое больше не получает патчей: из-за меня это происходит, что последнее активное ядро получает исправление, а затем этот не запускает важную услугу - это часто беспроводная поддержка. Затем я перезагружаюсь из своего старого запасного ядра, а затем переустанавливаю неисправное новое ядро, и все работает снова. Приправленное ядро приносит только предельную опасность: я использую его только для короткого ремонта!

Question 9

Наличие хотя бы предыдущего ядра может быть положительным в случае плохих конфигураций или странных сбоев. Что происходит в Linux, и поскольку ОС не является OEM, тогда нет системы восстановления, если вы не сделаете это заранее. На этой же странице авария или плохая конфигурация могут быть настолько плохими, что не могут быть исправлены путем отбрасывания.

Вы можете посетить с помощью моментальных снимков BTRFS AskUbuntu

guntbert · Answer 1 · 23 May 2018 в 15:34

Единственная проблема, которую вы получаете, сохраняя все старые ядра, - это пространство. Каждое изображение ядра вместе с заголовками занимает около 300 МБ.

В конечном итоге это может заполнить раздел и сделать невозможным обновление безопасности.

Вы всегда хотите, чтобы хотя бы одно старшее ядро имело резервную копию на всякий случай.

8

ответ дан guntbert 23 May 2018 в 15:34

1

Я хотел бы подчеркнуть второе предложение, так как оно укусило меня. У меня / boot как отдельный раздел, и когда он заполняется, он становится раздражающим. Если я снова установлю из свежих, попробую не создавать раздел / boot. Что касается запроса OP, то старые ядра - это просто файлы - возможно, ярлык " kernel " делает их более страшными, чем они есть на самом деле. – Ray 23 November 2015 в 18:08
2

Я столкнулся с этим также на небольшом перегородке /boot. Довольно раздражает. – LordNeckbeard 24 November 2015 в 10:49

DK Bose · Answer 2 · 23 May 2018 в 15:34

Если у вас установлен обычный Ubuntu, и если вы регулярно запускаете sudo apt-get autoremove, apt-get предлагает удалить старые ядра. Все, что вам нужно сделать, это ответить «Да»! Скрипт, который отвечает за удаление старых ядер, всегда гарантирует, что у вас есть хотя бы одно резервное ядро, доступное в случае, если новейший вам не подходит.

Сценарий, о котором я упоминал выше, можно найти здесь : /etc/kernel/postinst.d/apt-auto-removal. Процитировать:

# Author: Steve Langasek # # Mark as not-for-autoremoval those kernel packages that are: # - the currently booted version # - the kernel version we've been called for # - the latest kernel version (determined using rules copied from the grub # package for deciding which kernel to boot) # - the second-latest kernel version, if the booted kernel version is # already the latest and this script is called for that same version, # to ensure a fallback remains available in the event the newly-installed # kernel at this ABI fails to boot # In the common case, this results in exactly two kernels saved, but it can # result in three kernels being saved. It's better to err on the side of # saving too many kernels than saving too few.

Naftuli Kay · Answer 3 · 23 May 2018 в 15:34

Возможно, хотя и не очень правдоподобно, что установка старых ядер является угрозой безопасности.

Новые версии ядра обычно исправляют проблемы безопасности. Когда вы загружаетесь в новое ядро, вы должны быть защищены от этих проблем безопасности.

Вот сценарий, в котором было бы возможно использовать это:

] Атакующий может удалить ядра из загрузочного раздела. Атакующий удаляет более новые версии ядра, заставляя пользователя загружать старое, незапакованное ядро. Атакующий получает пользователя для загрузки старого ядра. После загрузки злоумышленник использует эту уязвимость для доступа к машине.

Это возможно, хотя и не очень правдоподобно : обычно, если злоумышленник имеет доступ к вашей машине, у вас будет плохой день. Он мог почти легко скомпрометировать ваши initramfs, даже с включенным полным шифрованием диска, и установить кейлоггер или хуже.

Если злоумышленник может удалить ядра, то он может сделать что-нибудь еще намного проще. Поэтому это не имеет смысла. — Pilot6, 24 November 2015 в 00:49
@ Pilot6 Точно. Там "есть" уязвимость, но это не хуже, чем то, что уже существует. — Naftuli Kay, 24 November 2015 в 01:16

Andrew Medico · Answer 4 · 23 May 2018 в 15:34

Да, это может быть - если консоль доступна, а меню grub позволяет выбрать, какое ядро загружаться (не редактируя параметры, просто выбирая). Если это правда, непривилегированный пользователь может выбрать старое ядро (либо перезагрузив компьютер, если им разрешено это сделать, вытащив вилку и перезагрузив, либо, случается, на консоль при ее загрузке), и приступим к использованию локального Корневая эскалация, исправленная в новом ядре (случайный пример: CVE-2012-0056).

Когда устанавливаются новые ядра, содержащие обновления безопасности, вы должны либо удалить старые, либо убедиться, что они не могут быть выбраны для загрузка злоумышленником.

Если пользователь имеет доступ к меню загрузки, он может просто загрузиться с USB-накопителя и перехватить систему. — Brice M. Dempsey, 24 November 2015 в 11:49
Я не говорю о меню выбора загрузочного устройства BIOS / EFI, просто меню grub. Возможно (и общее) меню grub разрешить выбор ядра (но не альтернативных загрузочных устройств). Меню grub полностью независимо и все еще доступно, даже если меню BIOS / EFI полностью заблокировано. — Andrew Medico, 24 November 2015 в 16:07

prometheos · Answer 5 · 23 May 2018 в 15:34

Я не вижу никакой опасности оставлять старые ядра на месте - просто сказал, что вы заботитесь о достаточном пространстве под / boot, а также для будущих потребностей. Но у меня есть особая причина хранить всегда одно старое ядро, которое больше не получает патчей: из-за меня это происходит, что последнее активное ядро получает исправление, а затем этот не запускает важную услугу - это часто беспроводная поддержка. Затем я перезагружаюсь из своего старого запасного ядра, а затем переустанавливаю неисправное новое ядро, и все работает снова. Приправленное ядро приносит только предельную опасность: я использую его только для короткого ремонта!

Community · Answer 6 · 23 May 2018 в 15:34

Наличие хотя бы предыдущего ядра может быть положительным в случае плохих конфигураций или странных сбоев. Что происходит в Linux, и поскольку ОС не является OEM, тогда нет системы восстановления, если вы не сделаете это заранее. На этой же странице авария или плохая конфигурация могут быть настолько плохими, что не могут быть исправлены путем отбрасывания.

Вы можете посетить с помощью моментальных снимков BTRFS AskUbuntu

Оставить старые установленные ядра могут быть опасными?

6 ответов

Другие вопросы по тегам:

Похожие вопросы: