古いカーネルをインストールしたままにしておくのは危険ですか？

Question

私はほぼ2年間ubuntuを使用していますが、古いカーネルバージョンをアンインストールする方法に関するインターネット上のガイドにいつも出くわします。でもここではUbuntuに尋ねますこのように多くの質問があります。

私の質問は次のとおりです。問題がありますか、またはこれらの古いバージョンをインストールしたままにしておくのは危険ですか？利点はありますか？

編集：

質問を明確にするための2つのポイント：

古いカーネルを削除するの方法についての指示は求めていません。
古いカーネルを削除する際の安全性については心配していません。代わりに、インストールしたままにしておくことの安全性が心配です。

Pilot6 · Accepted Answer

古いカーネルを残したり、それらを削除したりする必要はありません。

古いカーネルは、HDDのスペースを占有します。それでおしまい。そのうちの1つで起動したい場合のために、1つまたは2つの古いカーネルをインストールできます。

古いカーネルは、動作しているシステムには一切影響しません。

古いカーネルをインストールしたままにするのは100％安全ですこれが問題だった場合。それらのいずれかで意図的に起動しない限り、それらは使用されません。

guntbert · Answer

古いカーネルをすべて保持することで得られる唯一の問題はスペースです。すべてのカーネルイメージとヘッダーは約300 MBかかります。

最終的には、これによりパーティションがいっぱいになり、セキュリティの更新が不可能になります。

万が一の場合に備えて、常に少なくとも1つの古いカーネルを保持してフォールバックする必要があります。

DK Bose · Answer

通常のUbuntuがセットアップされていて、Sudo apt-get autoremoveを定期的に実行している場合、apt-getは古いカーネルの削除を提案します。あなたがしなければならないのは、「はい」と返信することです！古いカーネルの削除を担当するスクリプトは、最新のカーネルが適切でない場合に備えて、常に少なくとも1つフォールバックカーネルを使用できるようにします。

上記のスクリプトは、/etc/kernel/postinst.d/apt-auto-removalにあります。そこから引用するには：

 ＃作成者：Steve Langasek ＃ ＃次のカーネルパッケージを非自動削除としてマークします。 ＃-現在起動されているバージョン]＃-呼ばれたカーネルバージョン ＃-最新のカーネルバージョン（grub ＃パッケージからコピーしたルールを使用して決定し、ブートするカーネルを決定します） ＃-2番目に新しいカーネルバージョン。起動したカーネルバージョンが ＃で既に最新であり、このスクリプトが同じバージョンに対して呼び出されている場合、 ＃このABIで新しくインストールされた ＃カーネルはブートに失敗します ＃一般的なケースでは、これにより正確に2つのカーネルが保存されますが、3つのカーネルが保存されます。 ＃を保存するのは、少なすぎる保存よりも多くのカーネルを保存する方が良いでしょう。

Naftuli Kay · Answer

可能ですが、そうではありませんがPlausible古いカーネルをインストールしたままにしておくと、セキュリティ上のリスクがあります。

一般に、新しいカーネルバージョンはセキュリティ問題にパッチを当てます。新しいカーネルを起動すると、これらのセキュリティ問題から保護されます。

これを悪用するpossibleになるシナリオを次に示します。

攻撃者は、ブートパーティションからカーネルを削除できます。
攻撃者は新しいカーネルバージョンを削除し、ユーザーに古いパッチが適用されていないカーネルを強制的に起動させます。
攻撃者はユーザーに古いカーネルを起動させます。
起動すると、攻撃者はこの脆弱性を使用してマシンにアクセスします。

これはpossibleですが、それほどではありませんplausible：一般的に、攻撃者がマシンにアクセスできる場合、あなたは悪い一日を過ごすことになります。彼は、完全なディスク暗号化が有効になっていても、あなたのinitramfsをほとんど簡単に危険にさらし、キーロガーまたはそれよりも悪いものをインストールする可能性があります。

Andrew Medico · Answer

はい、可能です-コンソールにアクセスでき、grubメニューでブートするカーネルを選択できる場合（オプションを編集するのではなく、どちらを選択するか）。これが当てはまる場合、権限のないユーザーは古いカーネルを選択し（許可されている場合はマシンを再起動するか、プラグを抜いて再起動するか、起動時にコンソールにいる）、ローカルの悪用を続行できます新しいカーネルにパッチされたルートエスカレーションバグ（ランダムな例： CVE-2012-0056 ）。

セキュリティ更新プログラムを含む新しいカーネルをインストールしたら、古いカーネルを削除するか、悪意のあるユーザーがブート用に選択できないようにする必要があります。

prometheos · Answer

古いカーネルをそのままにしておくことにはまったく危険はありません。将来のニーズのために、/ bootの下に十分なスペースがあることに注意してください。
しかし、私は常に1つの古いカーネルを保持する特別な理由があります、それ以上パッチを取得しないもの：私によく起こるのは、最新のアクティブなカーネルパッチが適用されると、これは重要なサービスの開始に失敗します-それは多くの場合、ワイヤレスサポートです。次に、古いスペアカーネルから再起動し、失敗した新しいカーネルを再インストールすると、すべてが再び機能します。
ベテランのカーネルはわずかな危険しかもたらしません。私はそれを短い修理にのみ使用します！

userDepth · Answer

不適切な構成や奇妙なクラッシュが発生した場合は、少なくとも以前のカーネルを用意しておくと役立ちます。これはLinuxで起こり、OSはOEMではないので、事前に作成しない限り回復システムはありません。同じページでは、クラッシュまたは不適切な構成が非常に悪いため、フォールバックして修正することはできません。

BTRFSスナップショットを使用してアクセスできます AskUbunt