web-dev-qa-db-ja.com

古いカーネルをインストールしたままにしておくのは危険ですか?

私はほぼ2年間ubuntuを使用していますが、古いカーネルバージョンをアンインストールする方法に関するインターネット上のガイドにいつも出くわします。でも ここではUbuntuに尋ねます このように多くの質問があります。

私の質問は次のとおりです。問題がありますか、またはこれらの古いバージョンをインストールしたままにしておくのは危険ですか?利点はありますか?

編集:

質問を明確にするための2つのポイント:

6
James

古いカーネルを残したり、それらを削除したりする必要はありません。

古いカーネルは、HDDのスペースを占有します。それでおしまい。そのうちの1つで起動したい場合のために、1つまたは2つの古いカーネルをインストールできます。

古いカーネルは、動作しているシステムには一切影響しません。

古いカーネルをインストールしたままにするのは100%安全ですこれが問題だった場合。それらのいずれかで意図的に起動しない限り、それらは使用されません。

19
Pilot6

古いカーネルをすべて保持することで得られる唯一の問題はスペースです。すべてのカーネルイメージとヘッダーは約300 MBかかります。

最終的には、これによりパーティションがいっぱいになり、セキュリティの更新が不可能になります。

万が一の場合に備えて、常に少なくとも1つの古いカーネルを保持してフォールバックする必要があります。

8
guntbert

通常のUbuntuがセットアップされていて、Sudo apt-get autoremoveを定期的に実行している場合、apt-getは古いカーネルの削除を提案します。あなたがしなければならないのは、「はい」と返信することです!古いカーネルの削除を担当するスクリプトは、最新のカーネルが適切でない場合に備えて、常に少なくとも1つフォールバックカーネルを使用できるようにします。

上記のスクリプトは、/etc/kernel/postinst.d/apt-auto-removalにあります。そこから引用するには:

#作成者:Steve Langasek 
#
#次のカーネルパッケージを非自動削除としてマークします。
#-現在起動されているバージョン]#-呼ばれたカーネルバージョン
#-最新のカーネルバージョン(grub 
#パッケージからコピーしたルールを使用して決定し、ブートするカーネルを決定します)
 #-2番目に新しいカーネルバージョン。起動したカーネルバージョンが
#で既に最新であり、このスクリプトが同じバージョンに対して呼び出されている場合、
#このABIで新しくインストールされた
#カーネルはブートに失敗します
#一般的なケースでは、これにより正確に2つのカーネルが保存されますが、3つのカーネルが保存されます。 
#を保存するのは、少なすぎる保存よりも多くのカーネルを保存する方が良いでしょう。
2
DK Bose

可能ですが、そうではありませんがPlausible古いカーネルをインストールしたままにしておくと、セキュリティ上のリスクがあります。

一般に、新しいカーネルバージョンはセキュリティ問題にパッチを当てます。新しいカーネルを起動すると、これらのセキュリティ問題から保護されます。

これを悪用するpossibleになるシナリオを次に示します。

  1. 攻撃者は、ブートパーティションからカーネルを削除できます。
  2. 攻撃者は新しいカーネルバージョンを削除し、ユーザーに古いパッチが適用されていないカーネルを強制的に起動させます。
  3. 攻撃者はユーザーに古いカーネルを起動させます。
  4. 起動すると、攻撃者はこの脆弱性を使用してマシンにアクセスします。

これはpossibleですが、それほどではありませんplausible:一般的に、攻撃者がマシンにアクセスできる場合、あなたは悪い一日を過ごすことになります。彼は、完全なディスク暗号化が有効になっていても、あなたのinitramfsをほとんど簡単に危険にさらし、キーロガーまたはそれよりも悪いものをインストールする可能性があります。

1
Naftuli Kay

はい、可能です-コンソールにアクセスでき、grubメニューでブートするカーネルを選択できる場合(オプションを編集するのではなく、どちらを選択するか)。これが当てはまる場合、権限のないユーザーは古いカーネルを選択し(許可されている場合はマシンを再起動するか、プラグを抜いて再起動するか、起動時にコンソールにいる)、ローカルの悪用を続行できます新しいカーネルにパッチされたルートエスカレーションバグ(ランダムな例: CVE-2012-0056 )。

セキュリティ更新プログラムを含む新しいカーネルをインストールしたら、古いカーネルを削除するか、悪意のあるユーザーがブート用に選択できないようにする必要があります。

1
Andrew Medico

古いカーネルをそのままにしておくことにはまったく危険はありません。将来のニーズのために、/ bootの下に十分なスペースがあることに注意してください。
しかし、私は常に1つの古いカーネルを保持する特別な理由があります、それ以上パッチを取得しないもの:私によく起こるのは、最新のアクティブなカーネルパッチが適用されると、これは重要なサービスの開始に失敗します-それは多くの場合、ワイヤレスサポートです。次に、古いスペアカーネルから再起動し、失敗した新しいカーネルを再インストールすると、すべてが再び機能します。
ベテランのカーネルはわずかな危険しかもたらしません。私はそれを短い修理にのみ使用します!

1
prometheos

不適切な構成や奇妙なクラッシュが発生した場合は、少なくとも以前のカーネルを用意しておくと役立ちます。これはLinuxで起こり、OSはOEMではないので、事前に作成しない限り回復システムはありません。同じページでは、クラッシュまたは不適切な構成が非常に悪いため、フォールバックして修正することはできません。

BTRFSスナップショットを使用してアクセスできます AskUbunt

0
userDepth