2023年深入瞭解Linux內核更新

維護安全可靠的系統需要持續關注系統管理員任務清單中的最新Linux內核更新。Linux 內核的更新提供了必要的安全補丁、性能改進和錯誤修復，以保持系統正常運行。 

可靠、高效的IT依賴於像發條一樣運行的可重複流程 - 一直改變實踐是沒有意義的，但關鍵策略仍然需要時不時地更新，以跟上技術和網路安全格局的變化。

內核修補是這些過程之一 - 通常，組織決定不弄亂看起來有效的修補策略。更糟糕的是，有時內核修補被視為一項晦澀難懂的系統管理工作——除了公司Linux粉絲之外，任何人都從未考慮過。

然而，內核補丁確實很重要，因為 Linux內核漏洞 每個月都會不斷出現。只有一個未修補的內核漏洞可能導致災難，因為惡意行為者利用低效或無效的修補制度。

例如，補丁通常需要重新啟動才能生效，並且重新啟動週期之間的等待期可能允許惡意行為者利用漏洞。與其讓修補對預定的差距開放，技術團隊應該考慮採用不同的修補途徑。

在本文中，我們概述了Linux內核是什麼，為什麼Linux內核更新如此重要 - 並解釋為什麼Linux內核實時修補對於促進網路安全工作至關重要。

了解什麼是內核

內核位於任何現代操作系統 （OS） 的核心，充當物理電腦硬體和操作系統上運行的應用程式之間的橋樑。應用程式通常不直接控制計算機硬體 - 相反，操作系統促進了這種通信。

內核是操作系統的核心部分，在啟動時載入並管理低級操作，例如記憶體管理和處理器任務調度。操作系統中的任何更高級別功能始終由操作系統內核管理和操作。

簡單來說，內核就像你電腦的老闆，它説明所有部分協同工作，保持一切順利運行。 

每個作業系統內核的角色略有不同，內核大致可以分為五種不同的類型：

• 單片內核：單片內核是將大量操作系統功能打包在單個單元中的地方，包括設備驅動程式、記憶體管理、任務計劃程式等。整體式內核用於使用大型伺服器的環境或伺服器專用於特定作業的環境中。

• 微內核：微內核本質上要薄得多，僅包含絕對最少的代碼，以實現記憶體管理、調度和進程之間的通信。它最大限度地減少了內核所需的內存量 - 這種類型的內核在實時系統中是典型的。

• 混合內核：混合內核融合了單片內核和微內核的功能——它的佔用空間和記憶體消耗比微內核大，但它本質上是單片內核的精簡版本——比如刪除了設備驅動程式，但仍將關鍵操作系統服務保留在內核中。這是典型的現代桌面內核，如Windows和OS X，以及多功能伺服器內核，包括Linux。

• Nanokernel：Nano內核是內核的極其精簡的版本，基本上只通過最小的內核空間提供硬體抽象 - 例如，考慮虛擬化虛擬機管理程式。

• Exo Kernel：Exo內核本質上是學術性的，僅提供資源保護，主要用於需要特定硬體訪問的地方。

無論使用哪種類型的內核 - 內核始終是操作系統的核心，因此，內核為惡意行為者提供了一個獨特的、有吸引力的目標。可能危害操作系統內核的攻擊者可以獲得對系統的廣泛訪問許可權。

什麼是內核更新 – 為什麼它如此重要？

Linux 內核更新增強了操作系統的穩定性和安全性，因為開發人員不斷識別和修復攻擊者可能使用的問題或漏洞。用戶可以保護他們的系統免受潛在的安全漏洞的影響，並通過應用內核更新來確保他們的數據保持安全。 

很明顯，Linux 內核是 Linux 作業系統的核心，因此，它是每天使用的許多最常見伺服器操作系統的核心。想想從紅帽企業 Linux 到免費的 Linux 發行版（如 Ubuntu 和 Debian）的所有內容。

基於 Linux 的作業系統廣泛應用於全球的企業工作負載，依賴於安全、可靠和最新的 Linux 內核。隨著時間的推移，Linux 開發人員通過添加新功能來更新內核。但Linux內核開發人員的另一個重要作用是修補安全漏洞。

這些補丁會定期發佈，但允許（例如）重新啟動延遲的修補過程將意味著補丁不會在針對漏洞發佈補丁后立即應用補丁。換句話說，缺乏修補制度將意味著工作負載面臨的風險比它們需要的時間更長。

Linux 內核修補簡介

雖然Linux最初是由一個人完成的一個專案，但它已經發展成為最重要的操作系統內核之一 - 為從桌面用戶到關鍵企業應用程式的每個人提供服務。

經過三十年的發展，Linux 已經達到了一個非常穩定的操作系統內核的地步，但它仍然包含錯誤和漏洞。畢竟，有兩千萬行代碼，裡面會有一些人為錯誤。

這些漏洞中的許多將迅速公開，僅僅是因為Linux內核是開源的，換句話說，公眾可以完全訪問Linux內核 源代碼。因此，惡意行為者還可以訪問Linux內核原始碼 - 以及可見的缺陷和漏洞。反過來，破壞單個 Linux 伺服器可能會導致無數的機會 - 使數百個企業用戶端容易受到攻擊。

不難看出，Linux操作系統供應商總是試圖跟上漏洞的最新發現，而應對新發現的漏洞的方法之一當然是通過修補該漏洞。

麻煩的是漏洞不斷出現：月復一月地發現新的缺陷 - 有時在非常舊的Linux內核代碼中。事實上，每年都有數百個 Linux 內核漏洞被發現，這些漏洞都需要補丁——而且每個補丁都需要安裝。

從系統管理員的角度來看，龐大的工作量可能會變得令人憤怒 - 一個又一個補丁的補丁浮出水面。更糟糕的是，許多補丁需要重新啟動伺服器。不斷中斷服務以安裝補丁根本不是一個現實的前景。

因此，系統管理員通常認為，修補可以簡單地等到有足夠數量的未完成補丁來保證破壞性的伺服器重新啟動 - 但這留下了一個很大的漏洞窗口，因為一些補丁長時間未應用。

瞭解更新和升級之間的區別

值得澄清的一點是更新Linux內核和升級Linux內核之間的區別。

讓我們先看一下升級。我們知道技術在向前發展 - 新功能一直在推出，具有新的功能和優勢。通常，這些新功能被包裝在一個包中，這構成了一個重大的進步 - 這將被稱為操作系統升級。

因此，它是系統升級過程的一個組成部分，可能還涉及切換到Linux發行版的新主要版本，並在整個操作系統中實施重要的更改、新功能和增強功能。

相比之下， 操作系統更新 旨在解決問題 - 要麼是功能損壞，要麼是操作系統的開發人員發現了需要修復的安全漏洞。更新的更緊急、更緊湊的性質意味著這些更新的發佈頻率高於升級。

安裝 Linux 內核更新時，當前內核將被更新的內核替換，該內核會帶來錯誤修復、安全補丁以及可能的一些附加功能。更新僅影響內核元件;使用者安裝的應用程式和系統首選項保持不變。 

但是，更新的安裝仍可能會中斷，因此並不總是在發佈時安裝。

Linux 內核更新多久發佈一次？

Linux 內核更新以高頻率發佈 - 部分原因是 Linux 內核漏洞全年不斷被發現。這不是季度或年度更新的問題 - 它比這更頻繁。

如果發現漏洞，Linux 內核安全更新（或補丁）可能會幾乎立即發佈。換句話說，Linux 更新以不可預測的間隔發佈。這使得計劃系統更新以及相關的中斷變得困難。

儘管如此，更新需要儘早應用，因為合規性義務和服務級別協定通常需要定期修補。

最新的 Linux 內核版本是 6.3.4，一個非 LTS 系列，預計將在 7 月底達到生命周期結束，而即將推出的 Linux 內核 6.4 的最終版本 預計將在 7 月發布。

如何檢查Linux內核更新？

要檢查系統上當前的 Linux 內核版本，您可以執行此命令。

$ uname -r

輸出：

Linux 5.15.0-53-通用

在這裡，5.15.0 是內核版本，53 是補丁號。

更新會自動應用於Linux嗎？

許多操作系統都會自我更新 - 例如，想想那些定期的，令人沮喪的Windows重新啟動。Linux 不會自動更新 - 但您可以設置調度程式以確保使用 Linux 作業系統平台維護器自動更新 - 一些 Linux 供應商提供有助於無人值守更新的軟體包。

如果沒有自動更新，基於 Linux 的作業系統（如 Ubuntu 或 CentOS）很快就會過 時 ——關鍵漏洞仍未修補。系統管理員可以定期安裝Linux內核更新 - 但由於缺乏時間和資源，或者僅僅是因為他們想避免相關的中斷，他們經常無法這樣做。

在自動修補方面還有另一種選擇，特別是無需重新啟動即可完成的自動修補。這稱為即時修補，但我們將在後面的部分中介紹這一點。

更新 Linux 內核的五個不良理由

所以我們知道Linux內核更新是資源密集型和破壞性的。然而，並非每個內核更新都是一樣的 – 因此值得考慮內核更新是否真的必要。有效性有限的一些原因包括：

• 純粹是為了提高穩定性 ，因為 Linux 內核已經非常穩定，在安裝承諾略微提高穩定性的更新之前，您應該仔細評估任何承諾的穩定性改進 - 或者在邊緣情況下增加穩定性。

• 驅動程式更新也不是更新內核的好理由，因為您可能會發現驅動程式更新未應用於安裝 Linux 時使用的硬體，或者沒有提供足夠的切實好處來抵消安裝停機時間。

• 附加功能 是您可能要對內核更新三思而後行的另一個原因。值得考慮的是該功能是否真的必要 - 以及您使用的軟體是否真的很快需要該功能。

• 更快的性能雖然總是有用的，但不一定是升級內核的理由，尤其是在這些性能增強本質上實際上是增量的情況下。

• 如果停機時間很長，您 還應該暫停非關鍵內核升級，並三思而後行，考慮升級是否真的會為您的工作負載帶來好處。

換句話說，內核升級並不是普遍可取的——也不是普遍緊迫的。但是有一種內核升級要緊急得多，而且幾乎總是更新Linux實例的一個很好的理由。

更新 Linux 內核的一個很好的理由

毫無疑問，安全漏洞 是更新 Linux 內核的一個很好的理由。這些漏洞可能會以巨大的代價被利用 - 每個未修補，未修復的漏洞都為駭客敞開了大門，駭客可以利用這些漏洞來破壞和竊取您。此外，未修補的漏洞將使您不合規並可能違反合同。

因此，您需要通過更新來確保 Linux 伺服器的安全，但無論是在資源方面還是在與伺服器更新相關的中斷方面，這樣做都可能具有挑戰性。值得慶幸的是，有一個解決方案 - 無需重新啟動即可即時更新Linux內核。

即時 Linux 內核更新，無需重新啟動

更新 Linux 內核可能既耗時又乏味，考慮到不斷增長的 Linux 內核漏洞所需的更新頻率，更新更是如此。但是即時內核修補消除了更新 Linux 內核的令人沮喪的方面 - 通過消除手動更新的需要，以及消除在應用內核更新後重新啟動伺服器的要求。

換句話說，即時修補意味著您可以自動更新Linux伺服器而無需手動干預。而且，您無需停止和重新啟動即時活動伺服器即可執行此操作，因此無需中斷工作負載即可應用更新。

適用於Linux內核的即時修補工具

即時修補有幾種不同的形式。首先，您可以使用託管即時修補，即您自己應用即時修補。全自動即時修補意味著補丁在發佈時應用，並且是自動完成的，無需您干預。

理想情況下，您希望具有多平臺功能的全自動即時修補，以確保您廣泛地修補 - 並跨您的技術資產。這就是 TuxCare的KernelCare Enterprise 所提供的 - 一種端到端的即時修補解決方案，不需要重新啟動，並且可以毫不費力地在各種流行的企業Linux發行版，共用庫，資料庫，物聯網設備和虛擬機中自動修補漏洞。

這種更持久的修補方式不僅可以確保您的伺服器保持安全，還可以使您的Linux伺服器保持最佳狀態運行。

您需要打補丁 - 而即時修補是最現實的選擇

缺乏一致的補丁可能永遠趕不上你——畢竟，很容易說你從未被駭客入侵過，因此不需要太擔心補丁。但只要一次成功的攻擊，這種情況就會迅速改變。

修補在當今的網路安全環境中至關重要 - 當今駭客的自動化持續攻擊意味著任何未修補的漏洞都是開放的季節。Linux 不會自行修補，手動修補是資源密集型的。

相反，請考慮 從TuxCare輕鬆，重新啟動自動修補 - 並確保您的Linux內核始終受到保護，免受已知漏洞的影響。

現在您已經瞭解了Linux內核更新和即時內核修補的重要性，請瞭解 KernelCare 的即時修補的工作原理。

總結

文章名稱

2023年深入瞭解Linux內核更新

描述

讓我們概述一下為什麼 Linux 內核更新如此重要 - 並解釋為什麼即時修補對於促進網路安全工作至關重要。

作者

羅漢·蒂瑪律西納

發行者名稱

燕尾服護理

發行者徽標