Linux 使用不支持的内核会有什么影响?

2019-06-16 00:48:24 +08:00
 masker
今晚我的 Ubuntu 1804 的 live path 停止工作,根据错误提示搜索得知是因为安装了 Android studio (还是 Android SDK )导致出现了非常多的内核漏洞(CVE*****)。

原来的是 kernel 4.15.0,想着这些漏洞可以通过升级内核来消除,于是一口气升级到了 kernel 5.1.0。

升级完毕重启出问题了,出现了“ vmlinuz 5.1.0 has invalid signature"的错误,导致无法正常进入系统。于是搜索得知,关闭主板的" Secure Boot"可以解决。确实是可以,也正常进入系统并内核已成功升级到 5.1.0。

但是问题出现了,使用 `sudo canonical-livepatch status --verbose`出现了 kernel unsupported (下图所示),因此想问下大佬们,如果长期使用该内核版本,会有什么影响吗?
4693 次点击
所在节点    Linux
30 条回复
msg7086
2019-06-16 02:30:26 +08:00
qemu 的漏洞我不太清楚,但是这个包还是一直在收到安全更新的,你可以看看这里。
http://changelogs.ubuntu.com/changelogs/pool/main/q/qemu/qemu_2.11+dfsg-1ubuntu7.14/changelog

然后如果 livepatch 不能用的话,手动更新 kernel 包然后重启也是可以的,livepatch 只是让你不重启也能享受到小规模的内核安全更新(更新比较大的话还是要重启的)。

总之 livepatch 的底线就是你使用 Ubuntu 自己的内核( 4.15 ),至于为什么 apply-failed,需要你去查日志,看到底是为什么 failed 的,然后再做决定。
masker
2019-06-16 02:34:56 +08:00
@msg7086 嗯嗯 ,live patch 的日志我用 grep livepatch /var/log/syslogs 查看后返回的是空,才决定直接升级内核到 5.1.0
msg7086
2019-06-16 02:40:28 +08:00
@masker 另外我看了一下,livepatch 只更新重要的安全补丁,普通的补丁还是要你自己安装新版内核然后重启生效的。所以如果不是纠结这个的话,还是老老实实安装新的 4.15 然后重启吧。
iwtbauh
2019-06-16 11:50:30 +08:00
@msg7086 #15

普通用户使用使用上游的长期支持内核我认为比发行版的内核要好,目前是 4.19.x。当然不建议用 mainland 内核。

长期支持内核经过了足够测试,足够稳定。

发行版的内核版本很旧,可能有一些 bug,本来这些 bug 已经在上游修复了,但并非所有的 bug 都能反向移植修复。使用长期支持内核可以修正很多 bug。

比如 Ubuntu 的稳定内核,amdgpu 内核模块在 tlp 启用下插拔电源后 panic 的 bug 还没修,上游不知道修好都多长时间了。

//另一个是目前旧内核因为版本很旧,虽然反向移植了 Intel 漏洞补丁,但没法禁用全部 Intel 漏洞修复。但是上游的那些内核可以禁用大部分以救回一些性能。
iwtbauh
2019-06-16 11:53:18 +08:00
@masker #19

你的 qemu-kvm 是 Ubuntu 提供的吗,是的话会补(只要你的系统版本还受支持)
iwtbauh
2019-06-16 11:54:40 +08:00
@iwtbauh #25

此外还有 KVM 内核模块。那个是跟着内核的。内核升级即可。
qemu-kvm 只是 qemu 的 kvm 后端,不是 kvm。
masker
2019-06-16 11:58:12 +08:00
@iwtbauh #24 你的意思,升级为 4.19 的内核会比 5.1 的更好点,而且还能得到 live patch 的支持?
#25 `sudo apt-get install qemu-kvm` 安装的
msg7086
2019-06-16 12:26:32 +08:00
@iwtbauh 要用官方 LTS 而不是 Ubuntu LTS 的话,那还不如用 Debian 了。
我觉得既然选择了 Ubuntu 那就应该全套使用 Ubuntu,要么就索性都不用。
按理说重要的 Bug 都会移植的,如果没有移植的话可以找他们问问看。
(所以我选择 Debian→_→)
iwtbauh
2019-06-16 13:01:39 +08:00
@masker #27

不能。要用 livepatch 必须使用 Ubuntu 团队维护的内核。

4.19.x 是内核官方(上游)维护的长期支持内核。

Ubuntu 的维护者从上游拿到源码,进行自己的修改,然后打包发给用户。

你可以理解是,源码从 linus 维护的主线分支出来,倒了好几次手,最终到你手上。因此旧是正常的,好处是受 Ubuntu 团队支持。

开源世界里,“开发者”和“打包者”可能并不是一个人 /团队。

======

那么你的 qemu-kvm 会得到 Ubuntu 团队的漏洞修复。
masker
2019-06-16 14:48:20 +08:00
@iwtbauh 明白了. 总体的影响不是很大. live patch 只是接收 Ubuntu 官方推送的补丁进行修复,但是这些补丁,我们自己手动修复也可以. 4.15 的内核我还留着,当时候看看. 谢谢你的解答

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/574349

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX