请问linux升级内核对系统有多大影响

conanlm

最近处理一个银河麒麟的漏洞，需要升级内核修复

我这边的一个设备也是银河麒麟的需要修复这个漏洞
但是设备工程师说他那边研发说但是内核升级，产生影响，拒绝升级内核，使用其他办法来处理
内核升级对系统有多大影响，我是否要听取这个建议

chachi

设备不支持内核那就是不支持啊，如之奈何
除非设备驱动支持新内核

r_ex

Linux的驱动模型和Windows不一样，没有稳定的ABI，只要内核升级，驱动都得重新编译。而嵌入式设备可能会有一些芯片的驱动是二进制的，不提供源代码，设备厂商没法自己重新编译，所以没法升级。
所以大部分嵌入式设备都是研发的时候就定死了内核版本号，生命周期内都不会改。只有PC(主要是台式机)的驱动比较开放，升级容易。

木谷高明

生产环境一般不动内核，内核包含了对硬件的支持（部分驱动部分固件），举个栗子，高通和联发科无线路由给的参考系统都是openwrt，但内核都是原版修改过的。

编译内核的时候会有一堆选项，也可以加patch提供额外的硬件兼容性和bug修复。

如果新内核有问题，换完系统就启动不了，或者部分硬件工作不正常。

conanlm

升级内核是银河麒麟官方提供的修复方法，也会有这么大的风险吗
那漏洞怎么办，不修复也没法上线啊

ashunicorn

先说说设备的研发说的其他方法是啥，一般来说你要证明外部入侵无法利用这个漏洞

posthoc

可以先留着旧内核先装一个新内核，多加个引导项的事情（其实正常情况下本来就应该是这样做）。

Midnight.Coup

办公电脑升级大概率没啥影响，其他的我不好说升级了问题一般出在驱动(内核模块)上，向前移植补丁不行吗

conanlm

ashunicorn 发表于 2024-7-4 18:12
先说说设备的研发说的其他方法是啥，一般来说你要证明外部入侵无法利用这个漏洞 ...

问题是，领导认为有官方方法，你就给我按官方的来

CVE-2024-1086
这是官方的
https://kylinos.cn/support/loophole/patch/5813.html

这是设备那边提供的方法

Midnight.Coup

conanlm 发表于 2024-7-4 18:26
问题是，领导认为有官方方法，你就给我按官方的来

CVE-2024-1086

你用 docker 等容器就还是考虑升级内核吧

星空天神

宏内核就是这样

—— 来自 OnePlus LE2120, Android 14上的 S1Next-鹅版 v2.5.4

Benighted

conanlm 发表于 2024-7-4 18:26
问题是，领导认为有官方方法，你就给我按官方的来

CVE-2024-1086

没啥问题，有可用缓解措施的话就别折腾升级了

—— 来自 Xiaomi 2211133C, Android 14上的 S1Next-鹅版 v2.5.4

conanlm

Benighted 发表于 2024-7-4 19:09
没啥问题，有可用缓解措施的话就别折腾升级了

—— 来自 Xiaomi 2211133C, Android 14上的 S1Next-鹅版  ...

但是我不知道对不对
而且领导也不认可啊

Benighted

conanlm 发表于 2024-7-4 19:25
但是我不知道对不对
而且领导也不认可啊

不跑容器的主机的确可以用这个方法，这个在红帽官方文档里也有。你领导只认麒麟的打补丁修复那就按他意思升，出问题屎盆子别扣你身上就行



—— 来自 Xiaomi 2211133C, Android 14上的 S1Next-鹅版 v2.5.4

linux40

内核版本号分major、minor和patched。更新patched版本号完全没问题，不如说patched必须更新。

tsubasa9

打patch是对的，更新内核保不准哪个部分就没驱动了

11--

这事你听领导的就行了，按官方来

ashunicorn

conanlm 发表于 2024-7-4 18:26
问题是，领导认为有官方方法，你就给我按官方的来

CVE-2024-1086

和楼下几个兄弟说的一样，能缓解就缓解，记得评估隔离性就行，除非这么做严重影响业务运行

—— 来自 鹅球 v3.0.86-alpha

b0207191

linux驱动都是在内核里面的吗？   是否像windwos那种，常见的操作系统帮你包含了，免驱动，太偏门的或者后来新的，自己提供setup.exe来添加？

hxy8241

b0207191 发表于 2024-7-4 22:44
linux驱动都是在内核里面的吗？   是否像windwos那种，常见的操作系统帮你包含了，免驱动，太偏门的或者后 ...

可以的，但是之前有人说过了，最大的问题是linux一直在变，驱动需要开源然后patch才能一直跟着内核更新。闭源驱动一般只能对应某个内核版本，就像xp的驱动win10不能用。

—— 来自 鹅球 v3.0.86-alpha

posthoc

b0207191 发表于 2024-7-4 22:44
linux驱动都是在内核里面的吗？   是否像windwos那种，常见的操作系统帮你包含了，免驱动，太偏门的或者后 ...

可以自己加驱动，但也是以内核模块的方式进行载入，如果是开源的就可以把源码放到dkms目录里面每次更新内核后必需的重启过程中自动编译，登录后就是所有驱动ok的状态了，闭源的就麻烦了。

hrha

unprivileged_userns 这不明显是给 rootless 用的吗，为什么会影响 docker。

hentai烧酒

影响非常大，需要靠升级内核才能解决的问题肯定是大问题，更好的解决方案是迁移到高版本内核的操作系统上，可能都比原地升级强。

Midnight.Coup

hrha 发表于 2024-7-5 08:45
unprivileged_userns 这不明显是给 rootless 用的吗，为什么会影响 docker。

不知道楼主的设备上有没有开启 docker 增强隔离 了，如果是优麒麟23.10应该是有Ubuntu的缓解措施 https://ubuntu.com/blog/ubuntu-23-10-restricted-unprivileged-user-namespaces

henvelleng

服务器内核哪能随便升，要升就把大版本一起升了吧

pc端反而是最灵活的，第三方闭源驱动也能跟着新内核编译啊，闭源的是核心代码，重新编译的只是一小部分接口

嵌入式的驱动。。。我咋觉得一般都是全开源的

plumlis

听工程师的
内核非要升级也是LTS那种小版本升级，而且升级了还得重启，你能保证升级后重启能起来吗？

conanlm

现在情况是这样的
站不升级内核的，请给我个能说服领导的方法
站升级内核的，请给我个说服设备工程师那边的方法
我现在夹在中间，不知道咋办

posthoc

conanlm 发表于 2024-7-5 11:12
现在情况是这样的
站不升级内核的，请给我个能说服领导的方法
站升级内核的，请给我个说服设备工程师那边的 ...

你让工程师列一个升级内核之后的潜在问题清单，然后发给领导。具体是什么情况你让网友猜也猜不出来啊。
说白了你在这件事上既没有相关专业知识，也没有说一不二的拍板权力，你自己能做的本来就很有限。能让专业和权力之间有良好沟通可能就是最好的结果了。

r_ex

conanlm 发表于 2024-7-5 11:12
现在情况是这样的
站不升级内核的，请给我个能说服领导的方法
站升级内核的，请给我个说服设备工程师那边的 ...

你拉个会啊，让领导和设备工程师直接讨论。不然怎么都要背锅