请问linux升级内核对系统有多大影响
最近处理一个银河麒麟的漏洞,需要升级内核修复我这边的一个设备也是银河麒麟的需要修复这个漏洞
但是设备工程师说他那边研发说但是内核升级,产生影响,拒绝升级内核,使用其他办法来处理
内核升级对系统有多大影响,我是否要听取这个建议
设备不支持内核那就是不支持啊,如之奈何
除非设备驱动支持新内核 Linux的驱动模型和Windows不一样,没有稳定的ABI,只要内核升级,驱动都得重新编译。而嵌入式设备可能会有一些芯片的驱动是二进制的,不提供源代码,设备厂商没法自己重新编译,所以没法升级。
所以大部分嵌入式设备都是研发的时候就定死了内核版本号,生命周期内都不会改。只有PC(主要是台式机)的驱动比较开放,升级容易。
生产环境一般不动内核,内核包含了对硬件的支持(部分驱动部分固件),举个栗子,高通和联发科无线路由给的参考系统都是openwrt,但内核都是原版修改过的。
编译内核的时候会有一堆选项,也可以加patch提供额外的硬件兼容性和bug修复。
如果新内核有问题,换完系统就启动不了,或者部分硬件工作不正常。 升级内核是银河麒麟官方提供的修复方法,也会有这么大的风险吗
那漏洞怎么办,不修复也没法上线啊 先说说设备的研发说的其他方法是啥,一般来说你要证明外部入侵无法利用这个漏洞 可以先留着旧内核先装一个新内核,多加个引导项的事情(其实正常情况下本来就应该是这样做)。 本帖最后由 Midnight.Coup 于 2024-7-4 18:43 编辑
办公电脑升级大概率没啥影响,其他的我不好说升级了问题一般出在驱动(内核模块)上,向前移植补丁不行吗 ashunicorn 发表于 2024-7-4 18:12
先说说设备的研发说的其他方法是啥,一般来说你要证明外部入侵无法利用这个漏洞 ...
问题是,领导认为有官方方法,你就给我按官方的来
CVE-2024-1086
这是官方的
https://kylinos.cn/support/loophole/patch/5813.html
这是设备那边提供的方法
https://p.sda1.dev/18/ddfa2a453935d18246219b76046801a1/mmexport1720088545331.png conanlm 发表于 2024-7-4 18:26
问题是,领导认为有官方方法,你就给我按官方的来
CVE-2024-1086
你用 docker 等容器就还是考虑升级内核吧 宏内核就是这样
—— 来自 OnePlus LE2120, Android 14上的 S1Next-鹅版 v2.5.4 conanlm 发表于 2024-7-4 18:26
问题是,领导认为有官方方法,你就给我按官方的来
CVE-2024-1086
没啥问题,有可用缓解措施的话就别折腾升级了
—— 来自 Xiaomi 2211133C, Android 14上的 S1Next-鹅版 v2.5.4 Benighted 发表于 2024-7-4 19:09
没啥问题,有可用缓解措施的话就别折腾升级了
—— 来自 Xiaomi 2211133C, Android 14上的 S1Next-鹅版...
但是我不知道对不对
而且领导也不认可啊 本帖最后由 Benighted 于 2024-7-4 19:38 编辑
conanlm 发表于 2024-7-4 19:25
但是我不知道对不对
而且领导也不认可啊
不跑容器的主机的确可以用这个方法,这个在红帽官方文档里也有。你领导只认麒麟的打补丁修复那就按他意思升,出问题屎盆子别扣你身上就行
—— 来自 Xiaomi 2211133C, Android 14上的 S1Next-鹅版 v2.5.4 内核版本号分major、minor和patched。更新patched版本号完全没问题,不如说patched必须更新。 打patch是对的,更新内核保不准哪个部分就没驱动了 这事你听领导的就行了,按官方来 conanlm 发表于 2024-7-4 18:26
问题是,领导认为有官方方法,你就给我按官方的来
CVE-2024-1086
和楼下几个兄弟说的一样,能缓解就缓解,记得评估隔离性就行,除非这么做严重影响业务运行
—— 来自 鹅球 v3.0.86-alpha linux驱动都是在内核里面的吗? 是否像windwos那种,常见的操作系统帮你包含了,免驱动,太偏门的或者后来新的,自己提供setup.exe来添加?
b0207191 发表于 2024-7-4 22:44
linux驱动都是在内核里面的吗? 是否像windwos那种,常见的操作系统帮你包含了,免驱动,太偏门的或者后 ...
可以的,但是之前有人说过了,最大的问题是linux一直在变,驱动需要开源然后patch才能一直跟着内核更新。闭源驱动一般只能对应某个内核版本,就像xp的驱动win10不能用。
—— 来自 鹅球 v3.0.86-alpha 本帖最后由 posthoc 于 2024-7-4 23:12 编辑
b0207191 发表于 2024-7-4 22:44
linux驱动都是在内核里面的吗? 是否像windwos那种,常见的操作系统帮你包含了,免驱动,太偏门的或者后 ...
可以自己加驱动,但也是以内核模块的方式进行载入,如果是开源的就可以把源码放到dkms目录里面每次更新内核后必需的重启过程中自动编译,登录后就是所有驱动ok的状态了,闭源的就麻烦了。 unprivileged_userns 这不明显是给 rootless 用的吗,为什么会影响 docker。 影响非常大,需要靠升级内核才能解决的问题肯定是大问题,更好的解决方案是迁移到高版本内核的操作系统上,可能都比原地升级强。 本帖最后由 Midnight.Coup 于 2024-7-5 10:13 编辑
hrha 发表于 2024-7-5 08:45
unprivileged_userns 这不明显是给 rootless 用的吗,为什么会影响 docker。
不知道楼主的设备上有没有开启 docker 增强隔离 了,如果是优麒麟23.10应该是有Ubuntu的缓解措施 https://ubuntu.com/blog/ubuntu-23-10-restricted-unprivileged-user-namespaces 服务器内核哪能随便升,要升就把大版本一起升了吧
pc端反而是最灵活的,第三方闭源驱动也能跟着新内核编译啊,闭源的是核心代码,重新编译的只是一小部分接口
嵌入式的驱动。。。我咋觉得一般都是全开源的 听工程师的
内核非要升级也是LTS那种小版本升级,而且升级了还得重启,你能保证升级后重启能起来吗? 现在情况是这样的
站不升级内核的,请给我个能说服领导的方法
站升级内核的,请给我个说服设备工程师那边的方法
我现在夹在中间,不知道咋办
本帖最后由 posthoc 于 2024-7-5 12:46 编辑
conanlm 发表于 2024-7-5 11:12
现在情况是这样的
站不升级内核的,请给我个能说服领导的方法
站升级内核的,请给我个说服设备工程师那边的 ...
你让工程师列一个升级内核之后的潜在问题清单,然后发给领导。具体是什么情况你让网友猜也猜不出来啊。
说白了你在这件事上既没有相关专业知识,也没有说一不二的拍板权力,你自己能做的本来就很有限。能让专业和权力之间有良好沟通可能就是最好的结果了。 conanlm 发表于 2024-7-5 11:12
现在情况是这样的
站不升级内核的,请给我个能说服领导的方法
站升级内核的,请给我个说服设备工程师那边的 ...
你拉个会啊,让领导和设备工程师直接讨论。不然怎么都要背锅
页:
[1]