Linux 使用不支持的内核会有什么影响?

2019-06-16 00:48:24 +08:00
 masker
今晚我的 Ubuntu 1804 的 live path 停止工作,根据错误提示搜索得知是因为安装了 Android studio (还是 Android SDK )导致出现了非常多的内核漏洞(CVE*****)。

原来的是 kernel 4.15.0,想着这些漏洞可以通过升级内核来消除,于是一口气升级到了 kernel 5.1.0。

升级完毕重启出问题了,出现了“ vmlinuz 5.1.0 has invalid signature"的错误,导致无法正常进入系统。于是搜索得知,关闭主板的" Secure Boot"可以解决。确实是可以,也正常进入系统并内核已成功升级到 5.1.0。

但是问题出现了,使用 `sudo canonical-livepatch status --verbose`出现了 kernel unsupported (下图所示),因此想问下大佬们,如果长期使用该内核版本,会有什么影响吗?
4705 次点击
所在节点    Linux
30 条回复
masker
2019-06-16 00:50:11 +08:00
masker
2019-06-16 00:52:34 +08:00
使用的 sm.ms 的图床 如看不到图 请告知
mason961125
2019-06-16 00:53:02 +08:00
影响就是不能用 Livepatch 了,因为它写了 Kernel Unsupported。
ziseyinzi
2019-06-16 00:55:21 +08:00
以后不会收到关于内核的更新了
iwtbauh
2019-06-16 00:59:19 +08:00
“根据错误提示搜索得知是因为安装了 Android studio (还是 Android SDK )导致出现了非常多的内核漏洞(CVE*****)。”

安装应用程序不可能增加内核漏洞。要么内核漏洞一直有,要么没有。

“如果长期使用该内核版本,会有什么影响吗?”

没有太大的影响。但 5.10.x 系列可能会 eol。到时候再往上升级即可。

我这种懒人,现在用的是最新的长期支持内核 4.19.x。求新,喜欢搞的,可以上 mainline 内核(现在是 5.2-rc )

“ Linux 使用不支持的内核会有什么影响?”

5.1.x 目前是受支持的内核啊,5.0.x 确实 eol 了。而且你的帖子内容是“ Ubuntu 使用不支持的内核”而不是“ Linux 使用不支持的内核”。对于前者,你的内核得不到 c 社的支持,仅此而已。
masker
2019-06-16 01:05:33 +08:00
@mason961125 貌似目前 Ubuntu1804LTS 搭配的内核版本是 4.15,就是说非 4.15 的内核都无法使用 live patch 了?


@ziseyinzi 疑问同上. 多问一句, 有两全其美的办法吗 ? 既可使用 live patch 又升级内核


@iwtbauh
1. 那几个 CVE 都是和 Android 有关的. 具体没截图,故不纠结它了. 在安装 Android 相关环境之前,live patch 是可正常工作的.
2. 没有什么影响就好, 但看楼下的回复说会影响 live patch 的使用,不知道如何解决
3. 嗯,这个确实是我的表达有问题.
masker
2019-06-16 01:40:42 +08:00
@mason961125 @ziseyinzi @iwtbauh 了解了下,好像 live patch 对个人桌面的重要性不是特别大,所以上面的疑问也可以无需解答啦. 感谢各位的解惑.
ochatokori
2019-06-16 01:45:00 +08:00
live path 是什么…
同 ubuntu1804 安装 Android studio 没发现有什么问题
masker
2019-06-16 01:48:50 +08:00
@ochatokori 系统打补丁不用重启系统。https://ubuntu.com/livepatch
yanqiyu
2019-06-16 01:48:52 +08:00
@ochatokori 在线应用内核补丁的工具,在内核更改不大的时候可以省掉重启应用更新
msg7086
2019-06-16 01:58:33 +08:00
你的 4.15.0 和 5.1.0 一样新,装 5.1.0 在漏洞上并不见得是「升级」。
linux-image-4.15.0-51-generic

linux-signed (4.15.0-51.55)
Wed, 15 May 2019 16:11:29 +0200

你 5.1 是什么版本?

只有当前版本才会得到最好的支持,其他版本都不行。建议你老老实实换回来,当前版本才是漏洞最少的。
masker
2019-06-16 01:59:42 +08:00
@msg7086 5.1.0-050100-generic
msg7086
2019-06-16 02:01:38 +08:00
@masker linux-image-unsigned-5.1.0-050100-generic_5.1.0-050100.201905052130_amd64.deb

2019.05.05 的,比现在 Ubuntu 的 4.15.0 要旧呢。
masker
2019-06-16 02:04:31 +08:00
@msg7086 我是在 Ubuntu 的 kernel mainline 找的, v4.15 是 2018.02.01,而 5.1.0 是 2019.05.06 呀

https://kernel.ubuntu.com/~kernel-ppa/mainline/
msg7086
2019-06-16 02:08:08 +08:00
@masker 系统自带的又不是 mainline,是他们内核团队自己维护的 LTS 啊,你去比 mainline 干什么。
mainline 本来就不是给普通人用的,一般是给开发者测试新内核用的。

By default, Ubuntu systems run with the Ubuntu kernels provided by the Ubuntu repositories. However it is handy to be able to test with unmodified upstream kernels to help locate problems in Ubuntu kernel patches, or to confirm that upstream has fixed a specific issue. To this end we now offer select upstream kernel builds. These kernels are made from unmodified kernel source but using the Ubuntu kernel configuration files. These are then packaged as Ubuntu .deb files for simple installation, saving you the time of compiling kernels, and debugging build issues.
你如果不是测试内核补丁,或者不是来定位内核 Bug 的话,那就不应该去用 mainline 版。

你看看这里:
http://changelogs.ubuntu.com/changelogs/pool/main/l/linux-signed/linux-signed_4.15.0-51.55/changelog
masker
2019-06-16 02:15:58 +08:00
@msg7086 这么说的,只能去手动修复 qemu-kvm 的漏洞了
msg7086
2019-06-16 02:17:43 +08:00
@masker 一般跟着 Ubuntu 升级就足够了,重要的不重要的漏洞官方都会补掉的。
msg7086
2019-06-16 02:19:44 +08:00
另外我还是不太清楚你是怎么得到有很多 CVE 的结论的。我只知道以前很多测漏洞的脚本只看主版本而不看漏洞补丁版本,以前一个客户就和我们说 Apache 2.4.x 是有很多 CVE 的,我们说你这些 CVE 全都补掉了,这是 Ubuntu 维护的补丁版,不是原版。
masker
2019-06-16 02:19:51 +08:00
@msg7086 像 qemu-kvm 这种自己安装的包导致的漏洞,官方也会补?自从安装了那个 kvm 之后,live patch 都因为漏洞停止工作了,状态为 off
masker
2019-06-16 02:22:05 +08:00
@msg7086 是用的 sudo canonical-livepatch status --verbose 这个命令
然后 need fixs 就出现了好几个 cve

https://i.loli.net/2019/06/16/5d05372d2113425547.jpg

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/574349

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX